ТЕХН Ша — НЕ ДЕННИ, ЕХЕ УБЕ УГРИ ЖЖ, БЕЙЕК ро НН та. UG, ЖІБЕ 
rRPREBESBSBBEE, {©К ЕА, МАЯ. РАНЕНЫ. ФЕ та ЕТЕ АВ Тена, ШІ ИЛЬЯ 
的 普及 、 黑 客 工 具 的 传播 ， 使 得 一 些 有 黑客 之 名 无 黑客 之 实 的 人 ， 只 要 使 用 简单 的 工具 ， 融 可 对 一 些 中 于 防 沁 的 计算 机 进行 攻击 ， 并 
在 受 侵 入 的 计算 机 里 为 所 欲 为 。 当 受 侵 入 者 友 现 目 己 的 密码 被 盗 、 吹 料 铸 修改 或 删除 、 硬 盘 变 作 一 片 空 日 之 时 ， 再 想 亡 手 补 牢 ， 却 为 
时 已 晚 。 


天 于 本 书 


在 现实 生活 中 ， 黑 客 可 能 是 那 蔡 非 营 有 天 赋 的 程序 员 ， 他 们 将 众多 强大 的 工具 组 合 起 来 解决 目 己 的 需求 ， 还 可 能 是 那些 使 用 “ 合 
法 的 ”工具 来 绕 过 审查 机 构 限制 并 窃取 他 人 隐私 的 人 。 俗 话说 : 害 人 之 心 不 可 有 ， 防 人 之 心 不 可 无 。 知 己 知 彼 方 能 百 战 不 至。 


本 书 便 是 基于 这 样 一 个 目的 而 诞生 的 。 了 和 解 基 础 的 网 络 知 识 ， 知 晓 通 常 的 黑客 攻击 手段 与 常用 黑客 软件 ， 从 而 用 知识 与 技巧 将 自 
己 的 计算 机 与 网 络 很 好 地 保护 起 来 ， 达 到 防 患 于 未 然 的 目的 。 


本 书 内 容 


本 书 紧 紧 围 绕 “ 攻 ”、“ 防 ”两 个 不 同 的 主题 ， 在 讲解 黑客 攻击 手段 的 同时 ， 介 绍 了 相应 的 防 沁 方法 ， 图 文 并 成 地 再 现 了 网 络 入 
侵 与 防御 的 全 过 程 。 本 书 涵盖 了 黑客 必 备 小 工具 、 扫 描 与 嗅 探 工 具 、 注 入 工具 、 密 码 攻 防 工 具 、 病 毒 攻 防 工具 、 林 马 攻 防 工具 、 网 游 
与 网 吧 攻 防 工具 、 黑 客 入 侵 检 测 工 具 、 清 理 入 侵 痕 迹 工具 、 网 络 代 理 与 追踪 工具 、 局 域 网 黑客 工具 、 远 程控 制 工 具 、QQ 聊 天 工具 、 
系统 和 数据 的 备份 与 恢复 工具 、 系 统 安 全 防护 工具 等 内 容 ， 由 浅 入 深 地 讲述 了 黑客 攻击 的 原理 、 常 用 手段 ， 让 读者 在 了 解 黑 客 技术 的 
同时 学 习 拒 政 于 千里 的 方法 。 
APR, 

本 书 由 浅 入 深 地 讲解 了 黑客 攻击 和 防 学 的 具体 方法 和 技巧 ， 通 过 具体 形象 的 案例 向 读者 展示 了 多 种 攻击 方法 和 攻击 工具 的 使 用 。 
通过 完成 一 个 个 实践 任务 ， 读 者 可 以 轻松 掌握 各 种 知识 点 ， 在 不 知 不 党 中 快速 提升 实战 技能 。 

- 任务 驱动 ， 自 主 学 习 ， 理 论 + 实 战 + 图 文 = 让 读者 快速 精通 。 

` 讲解 全 面 ， 轻 松 入 门 ， 快 速 打通 初学 者 学 习 的 重要 关卡 。 


实例 为 主 ， 易 于 上 手 ， 模 拟 真 实 工作 环境 ， 解 决 各 种 疑难 问题 。 


本 书 以 实例 分 析 加 案例 天 解 为 主要 手段 ， 以 图 文 并 成、 按 图 过 双方 式 详细 讲解 黑客 的 攻击 手法 和 相应 的 网 络 安全 管理 防御 技术 ， 
并 采用 案例 驱动 的 写作 方法 ， 照 顾 初 级 读者 ,详细 分 析 每 一 个 操作 案例 ， 力 求 通 过 一 个 个 知识 点 的 讲解 ， 让 读者 用 更 少 的 时 间 尽 快 擎 
握 黑 客 编程 技术 ， 理 解 和 擎 握 类 似 场合 的 应 对 思路 。 


本 书 适合 人 群 


本 书 是 一 本 面向 广大 网 络 爱好 者 的 速 但 手册 。 适 合 于 以 下 读者 学 习 使 用 : 


. 没有 多 少 计 算 机 操作 基础 的 广大 读者 ; 


需要 获得 数据 保护 的 日 常 办 公 人 员 ; 

- 喜欢 看 图 学 习 的 广大 读者 ; 

. 相关 网 络 管理 人 员 、 网 吧 工 作 人 员 等 ; 

- 明确 学 习 目 的 、 喜 欢 钻研 黑客 技术 但 编程 基础 薄弱 的 读者 ; 


. 网 络 管理 员 及 广大 网 友 等 。 


在 黑客 试图 攻击 他 人 计算 机 并 进行 一 系列 破坏 性 操作 时 ， 往 往 会 价 助 各 种 各 样 的 工具 。 本 章 主要 介绍 黑客 必 备 的 各 种 小 工具 ， 例 
如 文本 编辑 工具 、 免 杀 辅 助 工具 、 入 侵 辅助 工具 ， 有 助 于 读者 对 这 些 工具 有 一 个 比较 全 面 的 了 解 ， 并 学 会 使 用 这 些 工 具 。 


Жа; 
- 文本 编辑 工具 
- 免 杀 辅助 工具 


- 入 侵 辅 助 工具 


1.1 文本 编辑 工具 


在 对 文件 进行 修改 时 ， 经 常会 用 到 文本 编辑 工具 ， 如 UltraEdit 编 辑 器 、WinHex 以 及 PE 文件 编辑 工具 PEditor。 黑 客 通常 借助 于 
这 些 工 具 来 修改 木马 病毒 的 特征 码 ， 以 避 开 杀毒 软件 的 但 杀 。 


1.1.1 UltraEdit 编辑 中 


UltraEdit 是 一 套 功 能 强大 的 文本 编辑 器 ， 该 工具 可 以 编辑 文本 、 十 六 进 制 编 码 、ASCII 码 等 ， 甚 至 可 取代 记事 本 。 该 编辑 器 内 建 
英文 单词 检查 ，C++ 及 VB 所 令 ， 可 同时 编辑 多 个 文件 。 访 软件 又 附 有 HTML 标 等 颜 色 显 示 、 搜 寻 蔡 换 及 无 限制 还 原 功 能 ， 可 修改 EXE 
或 DLL 文件 。 


该 工具 的 具体 使 用 步骤 如 下 。 


步骤 01: 下 载 并 安 半 UltraEdit， 双击 该 工具 的 快捷 图 标 ， 即 可 打开 UltraEdit 主 窗口 。 在 UltraEdit 工 具 中 可 以 查看 各 种 应 用 软件 
的 十 六 进 制 编码 ， 如 图 1-1 所 示 。 
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91-1 _ UltraEdit 主 窗口 


步骤 02: 选择 “文件 ”一 “打开 ”菜单 项 ， 即 可 打开 “打开 ”对 话 框 ， 如 图 1-2 所 示 。 


hi 


03: 在 其 中 选择 相应 的 应 用 程序 ， 单 击 “ 打 开 ” 按 钮 ， 即 可 在 UltraEdit 主 窗口 中 看 到 该 应 用 程序 对 应 的 十 入 进 制 编码 ， 如 图 
1-3 所 示 。 


步骤 04: UltraEdit-32 支 持 多 文件 的 查找 蔡 换 ， 如 果 想 把 打开 的 几 个 文件 中 的 “/index.htm” 全 部 蔡 换 
为 “http://www.hzcourse.com/resource/readBook? 
path=/openresources/teach ebook/uncompressed/15149/OEBPS/Text/../index.htm”， 在 UltraEdit 主 窗口 中 选择 “ 搜 
率 ” 一 “ 昔 换 ”选项 ， 即 可 打开 “ 昔 换 ”对 话 框 。 在 其 中 分 别 输入 要 至 找 的 词 和 要 车 换 的 词 ， 如 图 1-4 所 示 。 单 击 “ 全 部 著 损 ” 近 
钮 ， 即 可 进行 替换 操作 。 
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图 1-2 “打开 对 话 框 
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E1-3 ”查看 应 用 程序 对 应 的 十 六 进 制 编码 


步骤 05: 在 UltraEdit 编 辑 工 具 中 还 可 以 插入 或 删除 十 六 进 制 数据 。 在 UltraEdit 主 窗口 中 选择 “编辑 ”一 “十 六 进 制 功 


能 ”一 “十 六 进 制 插入 /删除 ”菜单 项 ， 即 可 打开 “十 六 进 制 插入 /删除 ”对 话 框 ， 如 图 1-5 所 示 。 


步骤 06: 在 UltraEdit 主 窗口 中 选择 “插入 ”一 “在 每 一 个 增 量 处 字符 串 ” 有 菜单 项 ， 即 可 打开 “用 指定 增 量 插 入 字符 串 ” 对 话 框 ， 
在 其 中 设置 要 插入 的 字符 、 文 件 偏 移 开始 后 等 属性 。 单 击 “ 确 定 ”按钮 ， 即 可 添加 指定 的 字符 串 。 


步骤 07: 还 可 以 i 上 UltraEdit 软 件 打 开 指 定 类 型 的 文件 ， 其 具体 的 添加 方法 为 ， 在 UltraEdit 主 窗口 中 选择 “高 级 ”一 “配置 ”有 羔 
单项 ， 即 可 打开 “配置 ”对 话 框 。 在 “文件 类 型 ”选项 卡 下 束 可 以 添加 新 的 文件 类 型 ， 如 图 1-6 所 示 。 
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图 1-4 “替换 “对 话 杠 
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图 1-5 “十 六 进 制 插 入 /删除 ”对 话 框 
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图 1-6 “配置 ”对 话 框 


步骤 08: 如 果 在 UltraEdit 主 窗口 中 选择 “文件 ”一 “转换 ”菜单 项 ， 则 可 展开 UltraEdit 的 文本 格式 转换 菜单 ， 在 其 中 进行 
UNIX/MAC 与 DOS、EBCDIC 与 ASCII、OEM 与 ANSI 之 间 文 本 的 相互 转换 ， 如 图 1-7 所 示 。 


步骤 09: UltraEdit 软 件 广 持 在 Windows 系 统 里 安 委 的 所 有 字体 ， 其 中 包括 中 文 Windows 和 其 他 外 挂 字体 。 如 果 要 选择 显示 字 
体 ， 在 UltraEdit 主 窗口 中 选择 “视图 ”一 “设置 字体 ” 荣 单 项， 即 可 打开 “字体 ”对 话 框 ， 如 图 1-8 所 示 。 


步骤 10: 在 UltraEdit 软 件 中 还 可 以 直接 调用 DOS 和 Windows 命 令 。 在 UltraEdit 主 窗口 中 选择 “高 级 ”一 “DOS 命 令 ” 菜 单项 或 
按 F9 键 ， 即 可 打开 “Dos 命 令 ” 对 话 框 ， 如 图 1-9 所 示 。 
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图 1-8 “字体 ”对 话 框 


Sf 表示 在 命令 行 自动 插入 活 羡 的 文件 各。 


图 1-9 “Dos 命令 ”对 话 框 


步骤 11: 在 “命令 ”文本 框 中 输入 Dos 命 令 ， 如 dir、ping 等 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 在 UltraEdit 主 窗口 的 编辑 区 中 看 到 该 命 
令 的 具体 执行 结果 。 利 用 这 项 功能 可 以 截取 Dos 窗 口 运行 的 文本 信息 ， 如 图 1-10 所 示 。 
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图 1-10 ” Dos 命令 的 执行 


步骤 12: 如 果 想 运行 Windows 程 序 ， 则 在 UltraEdit 主 窗口 中 选择 “高 级 
开 “ 运 行 Windows 程 序 ” 对 话 框 ， 如 图 1-11 所 示 。 


步骤 13: 在 “命令 ”文本 框 中 输入 命令 调用 Windows 应 用 程序 (ста) 
口 ， 在 其 中 看 到 UltraEdit 软 件 的 安 闭路 径 ， 如 图 1-12 所 示 。 


2214: UltraEdit 工 具 还 可 以 编辑 和 使 用 安 ， 在 使 用 安之 前 需要 先 定 义 安 。 在 UltraEdit 主 窗口 中 选择 
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autoexec.bat 

bdkv install.log 
с03744е220е115957с 
config.sys 

ftc2010 

ieno2.1lib 

inetpub 

Intel 

kfsensor 


不 高 亮 [v] Е: 2014/8/8 11:29:24 文件 大 小 : 13 . 
结果 


一 “运行 Windows 程 序 ” 菜 单项 或 按 F10 键 ， 即 可 打 


， 单 击 “ 确 定 ” 按 钮 ， 即 可 打开 “命令 提示 符 ” 


项 ， 即 可 打开 “ 宏 定 义 ”对 话 框 ， 如 图 1-13 所 示 。 在 其 中 输入 大 的 名 称 和 热 键 后 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 录制 宏 。 


"E" 一 “录制 ”菜单 


运行 Windows 程序 


PW 

ап: 

cmd - 
ҮЙГӨ hiii), %F 表示 在 命令 行 让 


取消 人 


91-11 “运行 Windows 程 序 ” 对 话 框 


E Е г: UltraEdit DOS Command Window 
Microsoft Windows ГИ 6.1.7681 


hey BS іс) 2009 Microsoft Corporation, d 


С: Misers^fdministrator*Desktop?. 


图 1-12 Dos 命令 的 执行 结果 


22815: 如 果 想 在 UltraEdit 工 具 中 插入 并 使 用 已 经 存在 的 脚本 文件 ， 则 在 UltraEdit 主 窗口 中 选择 “脚本 ”一 “脚本 ”菜单 项 ， 
即 可 打开 “脚本 ”对 话 框 。 在 其 中 可 进行 添加 、 编 辑 、 删 除 脚本 操作 ， 如 图 1-14 所 示 。 


У AME пот НИЗ TE) 
YY 如果 未 找 肥 查找 并 车 换 的 内 容 则 继续 (F) 


TA SE sz 


Page (K): 
3%; 


81-13 “ЖАЯ” чт 


ЙЕ, 


图 1 


(+ 


=“ 


А ЕЕ с 


| йт | | maco || жун) 


图 1-14 “脚本 ”对 话 框 


步骤 16: 在 编辑 和 使 用 脚本 之 前 ， 同 样 需要 先 添加 脚本 文件 。 在 “脚本 ”对 话 框 中 单 击 “ 添 加 ”按钮 ， 即 可 打开 “打开 ”对 话 
如 图 1-15 所 示 。 


步骤 17: 在 其 中 选择 相应 的 脚本 文件 (一 般 是 .js 文件 ) ， 单 击 “ 打 开 ” 按 钮 ， 即 可 在 “脚本 ”对 话 框 中 看 到 添加 的 脚本 文件 ， 如 


-16 所 泵 。 


步骤 18: 单 击 “ 确 定 ” 按 钮 ， 返 回 UltraEdit 主 窗口 中 的 “脚本 列表 ”窗口 中 ， 即 可 看 到 刚 添 加 的 脚本 文件 ， 如 图 1-17 所 示 。 


步骤 19: 利用 UltraEdit 软 件 还 可 以 对 应 用 程序 进行 加 密 和 解密 操作 。 在 UltraEdit 主 窗口 中 选择 “文件 ”一 “加 密 ” 一 “加 密 文 
菜单 项 ， 即 可 打开 “加 密 文件 ”对 话 框 ,在 “密码 ”和 “确认 密码 ”文本 框 中 分 别 输 入 要 设置 的 密码 ， 如 图 1-18 所 示 。 


步骤 20: 单 击 “ 确 定 ” 按 钮 ， 即 可 打开 “加 密 -删除 文件 ”对 话 框 ， 如 图 1-19 所 示 。 如 果 不 想 删除 应 用 程序 源 文件 ， 则 单 
否 ” 按 钮 ， 即 可 进行 加 密 操作 。 


НБ: 本 ае 


ішш шш 
T 


вернее EE 


4 | 


Miu ІНІ: tast 1% | | 
THRE: (емее lem бы) -| | № | 


im: 


图 1-15 “打开 ”对 话 框 


бегілі 25: 


жо) | me | 


图 1-16 添加 的 脚本 文件 


B cen 
оженва ЖЫ) #32) E 项 目 (P) дан рай по DUM н40 ERA EOM ЕАН) 


2013/10/25 17: 1,024 .rnd 
2014/02/19 :2 0 5000 2819452 MWM | 
в 2014/01/15 09: 0 5064 584130 МҮМ C 
2013/12/31 10:2 DI 52Е925459ас59а2 ЕВЕ 
j 2009/06/11 T- ; autoexec.bat 
2013/12/20 : | Баку inscall.log 
| 2014/07/16 «DIR» с03744е2206115957 
2009/06/11 : config.sys 
a 2014/03/07 :26 «DIR» Есс2010 
Hno 15 2014/03/05 22 415,859 isenoZ.lib 


Ы 59 е5459ас5... 2013/12/31 10 и «DIR» inetpub 
Sacs.. 2013/12/31 10|- ЖР Ж ED ineen 


А c03744e220e... 2014/7/16 9:0 2014/03/24 09: <DIR> kfsensor 
E ftc2010 2014/3/7 8:26; “5 
Ji inetpub 2013/12/16 10 
| Intel 2012/6/13 174 
Д kfsensor 2014/3/24 9:11 
i PROS Files 2014/8/8 10:5; 
2013/12/31 14 、 


dg zm m E [| a ur EB uu Fg dx SMDQ аш O SET SE a пие, 


Verri даи азда, 


81 1 列 1co DOS 936 (ANSI/OEM - 简体 中 文 GBK) |» ЖЕБЕ 


图 1-17 在 “脚本 列表 窗口 中 查看 添加 的 脚本 文件 


SEN НЧЕ): 


MÀ 


F:heikelLOphtCrack 6lvcredist x86.exe | 


RAP): 


222222722 


iin ESO): 


222222222 


SE Ее WA BUE > 密码 趟 会 存 傅 在 系统 中 或 应 
ты sk ҒАН» MENA EKA 


回 如 果 加 密 的 文件 存在 风 | 莹 换 (R) 


图 1-18 “加密 文件 ”对 话 杠 


步骤 21: 同 理 ， 如 果 想 解密 文件 ， 则 在 UltraEdit 主 窗口 中 选择 “文件 ”一 “加 密 ” 一 “解密 文件 ” 荣 音 项 ， 即 可 打开 “解密 文 
件 ” 对 话 框 ， 如 图 1-20 所 示 。 在 其 中 选择 要 解密 的 文件 并 输入 设置 的 密码 ， 单 击 “ 确 定 ”按钮 ， 即 可 进行 解密 操作 。 


($ пе - 删除 文件 


Е: һеісе | OphtCrack 6 Wwcredist x86.exe 
EXE. frs PET 


图 1-19 “mÈ -MALI ”对话 框 


(ж EEN 


FERF: 
F:heike X OphtCrack 6 Wwcredist_x86.exe.uenc 


1.1.2 ”WinHex 编 辑 器 


WinHex 是 一 球 以 通用 十 六 进 制 编辑 器 为 核心 ， 专 门 用 于 处 理 数据 恢复 、 低 级 数据 处 理 、|T 安 全 性 以 及 各 种 日 常 紧 急 情况 的 高 级 
编辑 工具 。 该 工具 的 主要 作用 是 分 析 和 比较 文件 、 磁 盘 克 隆 、 数 据 擦 除 、 搜 索 和 蔡 换 等 ， 利 用 该 工具 可 以 进行 检查 和 修复 各 种 文件 、 
恢复 删除 文件 、 硬 盘 损 坏 造 成 的 数据 丢失 等 操作 。 下 面 将 介绍 如 何 配置 和 使 用 WinHex 编 辑 器 。 


(1) 配置 WinHex 
为 了 充分 地 利用 WinHex 工 具 的 强大 功能 ， 在 使 用 该 工具 之 前 还 需要 对 其 进行 一 些 简单 的 配置 。 具 体 的 操作 步骤 如 下 。 


步骤 01: 下 载 并 解压 缩 WinHex 文 件 后 ， 双 击 WinHex.exe 可 执行 文件 ， 即 可 打开 WinHex 主 窗口 ， 如 图 1-21 所 示 。 


НЕХ WinHex e = |.) w 
File Edt Search Naviqation View Tools Specdalist Options Window Help 17.B SR-1 


Case Data [] A = 59 | 


Ее Edt Тов = 


91-21 WinHex 主 窗口 


22802: 选择 Options (选项 ) >General (常规 ) 菜单 项 ， 即 可 打开 General Options (常规 选项 ) 对 话 框 ， 在 其 中 可 以 设置 
| 临时 文件 的 文件 夹 的 存放 位 置 ， 如 : C:\Users， 并 勾 选 Hexadecimal offsets (十 六 进 制 偏 移 量 ) 复 选 框 ， 将 虚拟 地 址 和 偏 移 地 址 都 
设置 为 十 六 进 制 的 ， 如 图 1-22 所 示 。 


步骤 03: 选择 Options (选项 ) 一 Edit Mode (编辑 模式 ) 菜单 项 ， 即 可 打开 Select Mode (选择 模式 ) 对 话 框 ， 如 图 1-23 所 
示 。 由 于 WinHex 默 认 是 写 保护 万 式 的 ， 这 里 将 编辑 模式 修改 为 Default Edit Mode (=deitale) (默认 的 编辑 模式 (= 可 编写 ) ) 选 


o 
o 


үч 


页 


General Options 


ІШ Restore last window arrangement 2 
16 recent documents in list 

E] tems in Windows context menu 2 

Ш Allow multiple program instances 2 

Г | Da not update file time 

М Open data windows maximized 

[4] WinHex context menu 

Ш Show file icons 3 


Folder for temporary files: 
C-XUsersADMINI^ ТХАррПайа 
Folder for images and backup Нев 
CAUsers 'ADMINI^ 1*AppData 
МІ Use as default 

Folder for cases and projects: 


LE II 
— 


Folder for templates and scripts: 


Г бепегае (x | 0DOA | with Enter 
Г | Generate Tabs with Tab key 

7! «(x20 substitute character: 

М Display bytes as text one by one 


М Virtual addresses in RAM editor 
Ш Display page separators ? 
bytes per line 


B byte groups 


Ш Save program settings in .cfg file 2 : ii г 


|М! Number partitions by disk location 
Auto-detect deleted partitions 
Sector reading cache 

Г | Check for surplus sectors 

| | Akemative disk access method ? 


М Search hit highlighting in File mode 2 
М Auto coloring for FILE records etc 2 
Block background color: |]... 
Record backgmd color | 1...) 
Position backgmd colo: [ | ... | 
Highl. modified bytes: ЯН 02 
Font Courier (ІМ) 


4 Help 


М! Gallery: Show pictures in archives 
|. [V] Gallery: Allow auxiliary thumbnails 2 
Substitute pattem for unreadable sectors: . | 

UNREADABLESECTOR | Prefered thumbnail size: 90 | | 


Display time zone... 


| Notation... | 


图 1-22 “常规 选项 ”对 话 框 


步骤 04: 选择 Options (选项 ) 一 Data Interpreter Options (数据 解析 器 选项 ) 菜单 项 ， 即 可 打开 Data Interpreter Options 
对 话 框 ， 可 在 其 中 设置 数据 解析 器 各 个 属性 ， 如 图 1-24 所 示 。 


Select Mode (globally) 


Read-only Mode (-write-protected) 
Illefault Edit Меде [=еа1 аб 1 е | 
In-place Mode (editable) 


“选择 模式 ”对 话 框 


图 1-23 


(2) WinHex 的 使 用 


WinHex 的 主要 功能 是 


步骤 如 下 。 


以 十 六 进 制 方式 编辑 和 修改 机 器 码 ， 另 外 还 有 编辑 文本 、 文 件 比 较 及 内 存 编辑 等 功能 。 


该 工具 的 具体 使 用 


223501: 在 WinHex 主 窗口 中 选择 File 一 Open 菜 单项 ， 即 可 打开 Open Files (打开 文件 ) 对 话 框 ， 在 其 中 选择 需要 打开 的 应 用 程 
序 ， 如 图 1-25 所 示 。 


步 又 02: 单 击 “打开 ”按钮 ， 即 可 在 WinHex 主 窗口 中 看 到 该 文件 的 十 六 进 制 代码 ， 如 图 1-26 所 示 。 


Data Interpreter Options 


8 bit, signed 


50225 


(ГІ DOS Date«Time (32 bit) 


! 8 bit, unsigned ! | Win32 FILETIME (64 bit) 
15 bit, signed I | OLE 2.0 DateTime (64 bit) 
[Г] 16 bit, unsigned D| ANSI SQL Date«Time (64 bit) 
| 124 bit, signed I| UINDX/C Date Time (32 bit) 
| |24 bit, unaigned Мило inatead of оссо 
32 bit, signed Г | Мас Absolute Time (32 bit) 
Г | 32 bit, unsigned [Г] HFS+ DateTime (32 bit) 
Г 148 bit, unsigned Г Java Оаве+ Time (54 bit) 
ГІ 64 bit, signed — 
Г |Binary(Sbit) | v 
Г | Ноа (=Single, 32 bit) Г | Assembler opcodes - 
[Г] Real (48 bit) ще! E| GUID 
Г Double (64 bit) Г ПР address 
Г Попа Double (-Ext., 80 bit) Г | Packed 7-bit ASCII 
Г | Ва Endian Г | Hexadecimal 3 Г] Digit grouping 
Г | Decimal ASCII Timestamps || Timestamps based оп UTC «8:00 


Cancel 


图 1-24 ”数据 解析 器 对 话 框 
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= 


selected: 1 k LüphiCrask В 
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- 


— charset.ntlm.txt 


charsct.txt 
, .default.icg 
85 gdiplus.di 


ӨР = mv 
修改 日 期 


2011/7/11 9:20 
2011/7/11 9:20 
2011/7/11 920 
2011/7/11 520 


Jefault Edit Mode 


类 到 


Derice... 


20140808 1129 
2011/7/11 9:20. 
2014/B/5 9:44 
2011/7/11 9:20 
2011/7/11 9:20 
2011/7/11 5:20 
2014/8/5 9:36 
2011/77/11 9:20 
2014/B/B 11:41 
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Б! Icagent.exe 
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> SfxBar.dll 
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图 1-25 Open Files 对 话 框 


WinHex - [с.ехе] 
НЕХ File Edit Search Navigation View Tools Specialist Options Window Нер 178 SR-1|- 


дл А ШЕ 


VB HEX 


22 m у | dà фа P 


lr.exe | 


| 
| 


Case Data 
File Edit 


па 


WinHex.exe 

ürrset B ud 
00000000 20 40 
00000010 ПП Ва 
00000020 (ПП 00 
00000050 ПП 00 
00000040 ПП üE 
00000050 ва Б9 
00000060 БЕ 74 
0000000 20 БП 
00000080 ПП 48 
00000090 ЕЕ 12 
00000040 ЕЕ 05 
ПОООПОБО ЕЕ zB 
00000060 ЕЕ üc 
HUUDUDUDU ЕЕ 05 
О00000Е0 ЕЕ 05 
UUUUUUFEU ЕЕ 05 
00000100 ЕЕ 00 


Eg E D 88 = 


— lc.exe 
oc FAheikeXLüphtCrack 6 
ПГ 
ПГ 
SA 
ПЕ 
b 
үде 
ПІ 
ПІ 
ПІ 
ПІ 
ПІ 
ПІ 
ПІ 
ПІ 
ПІ 
18: 2 


8.6 МВ 
9,039,873 bytes 


File size: 


Default Edit Mode 
State: original 
Undo level: 0 
Undo reverses: n/a | 
2011/07/11 
09:20:28 | 
2014/08/08 
11:29:23 
Attributes: А 
Icons: 0 


Creation time: 


Last write time: 


hexadecimal 
CP 936 
hexadecimal 


Mode: 
Character set: 
Offsets: 


00 ПО 


4 |в 


m | А 


Page 1 of 31389 | Offset: = 32 | Block: n/a Size: n/a 


1-26 在 WinHex 主 窗口 中 查看 应 用 程序 对 应 的 十 六 进 制 代码 


步骤 03: 在 WinHex 可 以 定位 到 某 个 偏 移 地 址 处 ， 在 WinHex 主 窗口 中 选择 Navigation (浏览 ) 一 Go To Offset ( 转 到 偏 移 量 ) 
菜单 项 ， 即 可 打开 Go To Offset 对 话 框 ， 在 New position (新 位 置 ) 文本 框 中 输入 0000050， 如 图 1-27 所 示 。 


图 1-27 Со То Offset*] ЛЕ 


步骤 04: 单 击 OK 按钮 ， 即 可 将 光标 转 到 相应 的 地 址 处 ， 即 方 框 所 示 的 代码 处 ， 如 图 1-28 所 示 。 


Не WinHex - [lc.exe] == 


ЕЕ File Edit Search Navigation View Tools Specialist Options Window Help 17.8 SR- 1 |- 
[a] х| 


Саве Паїа F Е шл E Е | Bm Е [B IB] mi b» 58 gà ^ HEX prn Е И села 
Offset | D s 3 p кой s TP т 


00000000 20 3t 004 FAheikeXLOphtCrack б 
00000010 DD E8 00 E = 

00000020 00 DD DD gg | Ple size: сама 
00000030 DD z 00 rM NES 


00000040 ШП БА Default Edit Mode 


00000050 (Ев a 20 | | State: original 


00000060 БЕ 74 62 Dada vat 0 


MATS CEN т ^p ТИ 


00000080 ПШ 48 h3 | dcm 
UUUUUUSU ЕЕ 12 B4 09 Creation time: 
UUUUUUSU ЕЕ 05 47 ЧЕ ПБ 
00000060 ЕЕ 2B ЕЗ 63 ПП Last write time: 2014/08/08 | 
FE nm AF ПП .RF ПЯ 11:29:23 
00000000 FE 05 47 98 FE DD ЗЕ DI Attributes: А 
UUUUUUEU ЕЕ 05 47 ВЕ FE 4E ЗЕ UI Icons: Ü 
UDDDDDFDU ЕЕЕ 05 47 DG FE DD GE DL Mode: а паана 
00000100 ЕЕ 00 00 00 00 00 00 UL Character set ср 936 | 
4 на Lum | k Offsets: hexadecimal | 


p 1 m 31389 | Offset: 50 - 104 | Block: n/a | Size: n/a 


‘Ungo reverses: ña 


2011/07/11 | 
09:20:28 


图 1-28 ”定位 到 设置 的 偏 移 量 处 


步骤 05: 使 用 WinHex 还 可 以 搜索 出 一 些 程序 内 的 字符 串 ， 并 且 可 以 对 它们 进行 编辑 。 在 WinHex 主 窗口 中 选择 Search (38 
zx) —Find Text (查找 文本 ) 命令 ， 即 可 打开 Find Text 对 话 框 ， 在 其 中 输入 需要 修改 的 字符 串 ， 如 run in DOS тоде, 将 搜索 方式 
i&&7JASCII/Code page 选 项 ， 如 图 1-29 所 示 。 


ERI э. 


"i Use this as ¿ë ukat ЕА 
РА] Whole words only 


Г Сопа.: ойзеі тод |512 = 0 | 
|_| Search in block only 
715 Search in all open windows 


|= = — — 
| E zm 
1 ІШ gi 


Cancel | б Help | 


图 1-29 “查找 文本 ”对 话 框 


步骤 06: 单 击 OK 按钮 ， 即 可 看 到 已 经 跳 转 到 要 搜索 字符 串 的 地 址 处 ， 如 图 1-30 所 示 。 在 窗口 右 侧 文 本 区 域 中 进行 字符 串 的 修 
改 ， 单 击 工 具 栏 上 的 保存 按钮 ， 即 可 保存 。 


步骤 07: 利用 WinHex 软 件 还 可 以 对 文件 进行 连接 、 分 割 、 合 并 、 不 可 逆转 删除 和 比较 等 操作 。 在 解密 时 经 常用 到 的 功能 是 比 
较 ， 即 通过 比较 解密 前 后 的 文件 看 出 解密 者 对 程序 中 的 哪些 代码 做 了 修改 ， 最 后 生成 一 个 文本 方式 差别 报告 。 在 WinHex 主 窗口 中 选 
РЕТос!$ (LE) 一 Files Tools (文件 工具 ) 一 Compare (比较 ) 菜单 项 ， 即 可 打开 Compare File/Disks (比较 文件 /硬盘 ) 对 话 
框 ， 如 图 1-31 所 示 。 


步骤 08: 单 击 2nd file 文 本 框 后 面 的 浏览 按钮 - ， 即 可 打开 Start Center (启动 中 心 ) 对 话 框 ， 如 图 1-32 所 示 。 


НЕХ WinHex - [іс.ехе] 
НЕХ Elle Edit Search Navigation Specialist Options Window Help 
Case Data : => = ЕТ" HE oo МР ue 
File Edit MEM 


Н 9 A B E 

00000000 5А 9 03 00 04 ПП уу СЧ FAheikeALOphtCrack 6 
00000010 р | 00 [ 00 40 00 3 ТИШ 7 
00000020 00 00 00 00 сЕ а ш 
00000030 00 ПП FF 89 ут УЕ 09352 Бука 
00000040 00 21 ВВ ыы Default Edit Mode 
00000050 dg T3 72 72 bl EL р ann State: nririnal 
00000050 TE 5 20 > 75 БЕ 20 69 I Һе | от Е D 
ОООО0ОЯО Б ZE ПА 24 ПП : Undo reverses: n/a 
00000090 с пе: ЕЕ DC ЗЕ 
00000090 2 BD 09 | ЕЕ B1 70 

D& ЗЕ DD FE ?B F8 6 
D000000B0 ПІ FE 2B ЕЧ 
00000050 Dü 3B EE DC 3 
00000000 : 00 | FE 05 47 ; 
000000Е0 ДЕ | FE 12 BD 98 3 b GIhN? 
DDDDODFD 47 9 DD : FE 52 69 3 p Gip ? bRi 2 Mosi 
00000100 ПП 00 ПА 04 == Б = Character set: CP 936 | 
00000110 СВ ЗЕ А4 епесдЕ? каде; Offsets: hexadecimal | 
00000120 08 00 50 45 Bytes per pagz&x16-448 

00 00 00 00 00 ХЕ М 8 Window #: 2 
00000140 00 00 00 DD ok A No. of windows: 1 
00000150 00 02 00 | 


00000150 O ül | ПП | ПП 05 
00000170 l 00 00 00 š TEMP folder: 7.5 GB free 


00000180 3 02 ag 00 lI~1\AppData\Local\Temp 
00000190 00 Dü 00 

000001540 au 00 4c 

00000160 b 3l ПП uu ПП 


Creation time2011/07/11 
09:20:28 
Last write time014/08/08 
11:29:23 


2 
rj 
г 
? 
Ё 


Attributes: 
Icons: 


1-41 


Clipboard: available 


Page 1 of 20179 Offset: ob = 114 | Block: n/a | Size: 
图 1-30 ERE FH P 


步骤 09: EBzHOpen File (打开 文件 ) 按钮 ， 在 Open Реж E eR, ER FA” ЖӘН, BRE "A 
中 心 ” 对 话 框 。 单 击 OK 按 钮 返回 比较 文件 /硬盘 对 话 框 ， 即 可 看 到 选择 的 需要 比较 的 文件 ， 如 图 1-33 所 示 。 


步骤 10: 单 击 Save reportsas (保存 报告 ) 文本 框 后 面 的 浏览 按钮 ， 即 可 打开 Save Report As (保存 报告 为 ) 对话 框 ， 在 其 中 设 
置 报 告 的 保存 位 置 和 名 称 ， 如 图 1-34 所 示 。 


步骤 11: 蛙 击 “ 保 仓 ”按钮 ， 即 可 返回 到 比较 文件 /硬盘 对 话 框 ， 在 其 中 可 看 到 报告 的 具体 保存 位 置 ， 如 图 1-35 所 示 。 单 击 OK 按 
钮 ， 即 可 打开 可 以 用 记事 本 程序 查看 报告 提示 框 ， 如 图 1-36 所 示 。 


Compare Files/Disks 


ist Не: 
dnd е:  F*heike'l DphtCrack бУс exe 
Save герой as: CXLsere ADMINI 1 App аа 


Г | Discontinue сотрайзоп after difference(a] 


| OK | Cancel | 


图 1-31 ”比较 文件 /硬盘 对 话 框 


Start Center 


^3 Open File c» Open Disk 


z- Sample script 
с Тей file conversion UNIX - Wind... 
Еш Text file conversion Windows - U... 


ака | өз» | 


图 1-32 Start Center*] i£ JE 


Compare Files/Disks | 


ta е: ЕМеїкеМШрНМтасК Gc ехе 
ла Не: ЕР пеке ШрПЕ-тгаск &cagent ехе 


Save repart аз: САИветв ADMINI- App Data 


图 1-33 ”选择 的 比较 文件 


dE Save Report А5 4 5 


Б шрыггагк B авет- 
: жын 

_ 2014/Bj5 936 

Jo rcracki mt 2014/8/5 0:36 
СО сагча ткі 2011/7/11 9:20 
С charsetntim. ti 2011/7/11 9:20 
charset 2011/7/11 9:20 
Е license - trial.txt 2011/7/11 9:20 


Хе: БЕП | 
pram Camel | 


图 1-34 Save Report Ass] T£ 4E 


Compare Files/ Disks 


lstfie:  FAheike l (phtt rack Бір exe и Нот ofset 
id йе. Fheike Lphtirack бісадегі exe О Fiom offset 


Save repot as Fheile*L ÜphtCrack &Report | se | 


=> Search differences. Compare 


Г | Discontinue comparison after | diterence(s) 


OK Cancel 


91-35 报告 的 具体 保存 位 置 


WinHex 


300,097 difference(s) found. You may now 
view the report using "notepad.exe". 


OK Cancel 


91-36 ”报告 提示 框 


278812: 当 系 统 完成 文件 的 比较 之 后 ， 将 会 产生 一 个 文本 文件 ， 从 中 可 以 看 到 不 同 代码 处 的 偏 移 地 址 、 代 码 内 容 和 到 别 思 数 等 信 
息 ， 如 图 1-37 所 示 。 


228813: 在 WinHex 软 件 中 还 可 以 将 应 用 程序 分 割 为 指定 大 小 的 文件 。 在 WinHex 主 窗口 中 选择 Tools (LE) Files Tools (М 
件 工 具 ) Split (分 割 ) 菜单 项 ， 即 可 打开 Split File (分 割 文件 ) 对 话 框 ， 在 其 中 选择 需要 分 割 的 文件 ， 如 图 1-38 所 示 。 


Search for differences 


1. F:XheikeXLOphtCrack 6l6c, exe: 9, 089,873 bytes 
B. F:XheikeMLOphtCrack GXlaagent.exe: 309, 24H byten 
Offnota: hexadee. 


ET e TEE TEM ES I MEE I IEEE 


oss5588528522585£28598 


图 1-37 查看 比较 文件 生成 的 报告 


- Ж; rem 
Lus. зен 
Шіг--егіргір 2014/2/11 16:38 360FEgR 
ME fe setup huajurzzip 2014/2/11 16:03 iR 
ШЕ hgzyckorar 2014/2/B 18:04 ЗБОРЕНЯ 
ШЕ ndscres gr.rip 2013/12/17 10:41 и 
ІШ пгізігігі-у1.ір 2013/12/17 10-50 360 Ең 
ШЕ Microsoft NETFrameworkwa.rar 2013/12/17 18:42 и 
(imapas: z etu pip | 1013/12/70 11:46 ЗО 
"my ана ы i «t datum 

тени чт rar 2014/2/12 10-58 

 сешрасттЁ [1).zip 2014/2/11 14:40 
Setupacmf(l).zip 2014/2/11 14:38 

Setuparrrf zip 2014/2/11 14:37 

Ë) M Heo жаш 2014/2/11 14:38 


EN m "= иш шш w 


as 


THRA: aultipraxy. rar 


ARES 


81-38 Split File 对 话 框 


步骤 14: 单 击 Split (分 割 ) 按钮 ， 即 可 打开 Desired file size (定义 文件 大 小 ) 对 话 框 ， 在 其 中 设置 文件 的 大 小 ， 如 图 1-39 所 


Т“ 


Split File 


DJesired Ше size: 


Шы 


ЖИ) 


图 1-39 Desired file size *T tE 1E 


224815: 单 击 OK 按钮 ， 即 可 打开 Destination File (目标 文件 ) 对 话 框 ， 在 其 中 设置 目标 文件 的 保存 位 置 ， 如 图 1-40 所 示 。 单 
击 “ 保 存 ” 按 钮 ， 即 可 进行 文件 分 割 。 


НЕХ Destination File £1 (last) ———— - : 


НЕНІ): | BET Qr F> 

各 称 | HIEMS 

№ arpatttt 2014/2/19 11:11 
k ficsetup huajun 2014/2/11 16:07 
1 hgzyckz 2014/1/2 14:52 
|) Setupgemf 2014/2/11 14:39 
Ji 5ешраст (1) 2014/2/11 14:40 
k Setupqcmf(1]) 2014/2/11 14:39 
ЗЕН ЕЗ Б v4.1 2014/2/11 10:23 


жш 2014/2/11 10:24 
В 网 页 木马 生成 器 v1.0- 软 件 -墨客 芭 直 2014/2/10 9:51 

ME 51CTD 下 载 - 畦 宕 专用 务 杀 工具 之 超 良 加 花 圳 1.6.zipP。 2014/2/11 14:30 
ЙЫ агран гаг 2014/2/19 11:40 
ШЕ ficsetu p.zip 2014/2/11 16:38 
ЙЫ Несе p. huajun.zip 2014/2/11 16:03 


MES; . н mum 
4 il 


ті ODE nultiprory rar | 


КІШ мі Files m | Cancel — | 


1-40 Destination БПе tE 4E 


1.1.3 “PE 文件 编辑 工具 PEditor 


PEditor 是 一 蒜 PE 文 件 编辑 工具 ， 有 转 存 进程 、 在 SoftlCE 中 插入 中 断 、 编 辑 PE 文 件 的 导入 表 、 证 表 、 重 建 校 验 和 重建 程序 等 功 
能 。 与 其 他 PE 编辑 工具 相 比 ，PEditor 可 把 所 有 的 功能 都 集中 在 主 窗 口中 ， 从 而 方便 修改 PE 文件 。 使 用 PEditor 编 辑 PE 文 件 的 操作 步 
又 如 下 。 


步骤 01: 下 载 并 运行 PEditor 1.7 汉 化 版 程序 ， 即 可 打开 PEditor 1.7 主 窗口 ， 如 图 1-41 所 示 。 单 击 “ 浏 览 ” 按 钮 ， 即 可 打开 ““ 选 
择 你 要 查看 的 文件 ”对 话 框 ， 如 图 1-42 所 示 。 


步骤 02: 在 选择 要 查看 特征 码 的 文件 后 ， 单 击 “ 亲 开 ” 按 钮 ， 即 可 在 PEditor 1.7 主 窗口 中 看 到 该 文件 的 各 种 特征 码 信息 ， 如 图 1- 
43 所 示 。 在 “入口 点 ”文本 框 中 将 其 特征 码 修改 为 “000021A0”， 如 图 1-44 所 示 。 访 种 方法 可 以 使 木马 程序 避 开 一 般 的 杀毒 软件 。 


ВЕ | PEditor 1.7] yoda & NM.o.D. 制 作 сао cong; tk 


—— — — — 


-文件 信息 тт 
АНЫ: 机 器 类 型 
вен sd 

时 间 日 期 标志 ; 
符号 表 指针 : 
符号 数 

可 选 头 部 大 小 
特征 值 


PAZE 
RAZY: 
数据 基 址 : 
LER 
Aud 
TIBASU: 

XTEBASU: 
TER 


ES 


—— 
—— 
—— 
一 一 
一 一 
一 一 
一 一 
一 一 
一 一 


硬 击 浏览 打开 一 个 区 件 或 把 区 件 拖 动 弄 | 此 效 口 . 


图 1-41 PEditor 1.7 主 窗口 


bk 选择 你 要 查看 的 文件 .. 


ЕСТ): |) downbank0516 MyCCL 


EPR 
db мусс! 


ТІ! 


M PES D : пусс1 v2. |. exe 


РЕЯ (T): exe, dll, icd, ocx, cpl, sys, mpd an v | 


图 1-42 “选择 你 要 查看 的 文件 ”对 话 框 


ІШЕ [ PEditor 17 | yoda & М.о.О НИЕ сао congiX Н, 


LESER. E: TDDOYNLDADAdownbankD5IB МуСЕТАтусс1 2. 1. exe - 4i | 
-文件 信息 


| AUS: 
rz Ee ELE: 


mm Ee: == i 
(00123620 НЕЗ [oLa 
00400000 Tu. | 


пни: Быз | 2f 
代码 基 址 СЕРТ ooo00 || адын 
жәнее [гш | #58. TIU um 
ial: 100126000 | | np: ooro | 


сараа 一 
000с4000 


让 部 去 小， [00001000 特征 值 : [6192 PEE 
БЕГ ЕЛЕ [06001000 | eq 


sets: | 


НАЗА НЕЕ КЕНЕН SH... 


图 1-43 ”文件 的 各 种 特征 码 信 息 


ШЕ [ PEditor 1.7 | yoda & M.o.D. 制 作 сао congiX tk 


ТЕТ... ESMTDDOWHLDADAdovnbankü518 МеСГІЛттесі v2.1. еке — 4i 
ЕЕ A 
ADE: 00002140] | | +02891: 014С 
mie E: 00400000 э. TE 
时 间 日 期 标志 AA25E19 amm 


FDA RE 调试 器 中 中 断 
| - PTE Ее. 00000000 
аы 号 表 指 


Дада = а 
iR ыы 10012000 па |: ИШЕН 1-4 
Lagh.: 00001000 ТЕН: Ы 

Б: 00001000 


00000000 


ЗЕЯ 


应 用 更 改 
文件 队列 | 关于 


TER nn 


把 你 的 忌 标 部 在 编辑 框 上 以 获得 更 条 信息 . .， 
图 1-44 ЖАП HE 


步骤 03: нак "MAEN" ЖӨН, BIHA "ENER" РЕ, WEd1-45Brzs. ЕН "ТХЕ" ВОН, ВРЕВА 
AIRE 95 515788, 


图 1-45 “此 文件 更 新 成 功 ” 提 示 框 


步骤 04: 在 PEditor 1.7 主 窗口 中 单 击 “ 分 割 节 ”按钮 ， 即 可 打开 “3 区 段 及 PE 头 成 功 转 存 ” 提 示 框 ， 如 图 1-46 所 示 。 单 击 “ 确 
定 ” 按 钮 ， 即 可 转 存 3 区 段 和 PE 头 文 件 。 


YEAH... 


图 1-46 “3 区 段 及 PE 头 成 功 转 存 ”提示 框 


步骤 05: 在 PEditor 1.7 主 窗口 中 单 击 “ 调 试 器 中 中 断 ”按钮 ， 即 可 打开 “调试 器 中 中 断 ” 对话 框 ， 在 “虚拟 地 址 ”文本 框 中 输入 
虚拟 地 址 ， 如 图 1-47 所 示 。 


步骤 06 单 击 “ 运 行 ”按钮 ， 即 可 打开 “myccl v2.1.exe 已 停止 工作 ”提示 框 ， 如 图 1-48 所 示 。 单 击 “ 关 闭 程 序 ” 按 钮 ， 即 可 中 断 
myccl v2.1.exe 程 序 。 


步骤 07: 在 PEditor 1.7 主 窗口 中 单 击 FLC 按 钮 ， 即 可 打开 “文件 地 址 计算 器 ”对 话 框 ， 在 其 中 选择 “相对 虚拟 地 址 ” 单 选项 并 输 
入 相对 虚拟 地 址 ， 如 图 1-49 所 示 。 


步骤 08: 单 击 “执行 ”按钮 ， 即 可 计算 出 输入 的 “相对 虚拟 地 址 ”对 应 的 虚拟 地 址 、 十 六 进 制 偏 移 、 十 进 制 偏 移 以 及 字 节 内 容 ， 
如 图 1-50 所 示 。 


步 又 09: 在 PEditor 1.7 主 窗口 中 单 击 “ 校 验 和 ”按钮 ， 即 可 打开 “ 校 验 和 修正 器 ”对 话 框 ， 在 其 中 输入 当前 校 验 和 与 修正 校 验 
和 ， 如 图 1-51 所 示 。 单 击 “ 修 正 ” 按 钮 ， 即 可 打开 “ 校 验 和 更 新 成 功 ” 提 示 框 ， 如 图 1-52 所 示 。 


图 1-47 “调试 器 中 中 断 ” 对 话 杠 
E myccl v2.1.exc 
©? myccl м2.1.ехе 已 停止 工作 


出 现 了 一 个 问题 ， ЕВРЕИТЕ ТЕ, ЧЕХИТЕ 
Б. 


> 关闭 程序 


图 1-48 已 停止 工作 提示 框 


文件 地 址 计算 器 


C BERE | 
C 相对 虚拟 地 址 00002140 


CO diis (Нех) | 


С ЕН | 
XE: | 


图 1-49 “文件 地 址 计算 器 ”提示 框 


УЕА НЕ 


C BEIGE 00402140 
(ж ВУ ЕЕН 00002140 


C diete (Нех) 0000150 
C НЕС) 5536 
Нат. |9А F5 АБ 58 T4 39 FB 34 


1-50 计算 相对 虚拟 地 址 对 应 的 各 项 值 


ПООБЗАЕВ 


4151 “ 校 验 和 修正 器 ”提示 框 


91-52 “ 校 验 和 更 新 成 功 ” 提 示 框 


步骤 10: 在 PEditor 1.7 主 窗口 中 单 击 “ 重 建 程序 ”按钮 ， 即 可 打开 “重建 器 ”对 话 框 ， 在 其 中 勾 选 相应 的 复 选 枉 ， 如 图 1-53 所 
示 。 单 击 “ 执 行 ”按钮 ， 即 可 重建 打开 的 应 用 程序 ， 如 图 1-54 所 示 。 


-选项 
m REE 
v 重新 排列 文件 
C 常规 


(+ T 
Г ШАД 
Нл 


4153 “重建 器 ”提示 框 


м 择 除 重 定 位 部 分 
v 重新 排列 文件 
C 党 规 -> HEXER RO Bus 


(б Жау = ( 0%) 


iden | ; 


МОНЕ PE 法 使 其 兼容 WIN HT/2K 


61-54 重建 打开 的 应 用 程序 


12 ARAILE 


在 黑客 进行 入 侵 之 前 ， 往 往 使 用 免 杀 辅助 工具 对 其 木马 程序 进行 免 杀 人 处理 ， 这 样 才 可 以 成 功 避 开 目 标 主机 杀毒 软件 。 常 见 的 免 杀 
辅助 工具 有 MYCLL 定 位 器 、OC 偏 移 转换 工具 等。 


1.2.1 MYCLL 定 位 器 


当 杀 毒 软件 遇 到 新 的 病毒 时 ， 束 会 从 该 病毒 程序 中 截取 一 段 二 进 制程 序 代 码 (特征 码 ) ， 以 判断 是 否 是 病毒 ， 所 以 更 改 特征 码 融 
成 为 免 杀 最 第 见 ， 也 是 比较 有 效 的 方法 。 在 修改 文件 特征 码 之 前 ， 往 往 需 要 先 对 特征 码 进 行 定位 ， 而 定位 特征 码 通 党 有 手工 定位 和 目 
动 定位 两 种 方法 。 在 一 般 情 况 下 ， 先 使 用 手工 定位 确定 大 沁 围 ， 再 使 用 自动 定位 确定 小 沁 围 ，MYCLL 束 是 一 蒜 非 常 经 典 的 特征 码 定 
位 软件 。 


使 用 MYCLL 特 征 码 定位 器 定位 特征 码 的 具体 操作 步骤 如 下 。 


步骤 01: 下 载 并 运行 “MYCLL 特 征 码 定位 器 V2.1” 软 件 ， 即 可 打开 MYCLL Ver2.1 主 窗口 ， 在 其 中 可 以 查看 应 用 软件 的 特征 码 ， 
如 图 1-55 所 示 。 


MYCCL ЦЕН КК RE Мег 21 Build 15 


图 1-55  *MYCLLVer21" i4u 


273802: 在 MYCLL Ver2.1 主 窗口 中 单 击 右边 的 “文件 ”按钮 ， 即 可 打开 “打开 ”对 话 框 ， 在 其 中 选择 需要 定位 特征 码 的 文件 ， 
如 图 1-56 所 示 。 


š 修改 日 其 
Ж мусс: 2014/8/11 10:33 


' == 


(ЕЙ пту сі ү2,1,ехе — — 2 АЮВ ЛАО O č 


` Fa 


s —— Maa һ 
= Uu er ЫВ. заа - 
кыно ГС Ен | 


图 1-56 “打开 ”对 话 框 
步骤 03: 单 击 “ 打 开 ” 按 钮 ， 即 可 在 MYCLL Ver2.1 主 窗口 中 下 半 部 分 看 到 该 文件 包含 的 PE 文件 信息 ， 如 图 1-57 所 示 。 


步骤 04: 单 击 “ 特 征 区 间 ” 按 钮 ， 即 可 打开 “填充 /特征 码 区 | 间 设 是” 对 话 框 。 在 “开始 位 置 ” 和 “结束 位 置 ”文本 框 中 分 别 输 
入 开始 位 置 和 结束 位 置 对 应 的 特征 码 后 ， 单 击 “ 添 加 已 确定 的 特征 码 荡 围 ” 按 钮 ， 即 可 湛 加 该 特征 码 区 间 ， 如 图 1-58 所 示 。 


步 又 05: 单 击 MYCLL Ver2.1 主 窗口 中 的 “生成 ”按钮 ， 即 可 打开 “程序 将 清除 目录 中 的 所 有 文件 ”提示 框 ， 如 图 1-59 所 示 。 


步骤 06: 单 击 Yes 按 钮 ， 即 可 打开 “请 对 生成 目录 进行 杀毒 ”提示 框 ， 如 图 1-60 所 示 。 单 击 OK 按 钮 ， 即 可 人 在 MYCLL Ver2.1 主 窗 
口中 看 到 生成 文件 的 具体 路 径 ， 如 图 1-61 所 示 。 


步骤 07: 单 击 “ 二 次 处 理 ” 按 钮 ， 即 可 在 MYCLL Ver2.1 主 窗口 中 看 到 复合 特征 码 定位 结果 ， 如 图 1-62 所 示 。 


步骤 08: 根据 定位 的 结果 在 专 | 修改 特征 码 工具 中 打开 该 木马 文件 ， 将 特征 码 所 在 的 位 置 著 换 为 0。 再 使 用 杀毒 软件 进行 杀毒 
如 果 没 有 报 病毒 束 表 明定 位 的 结果 是 正确 的 ， 同 时 也 完成 特征 码 的 修改 。 


1 MYCCL 唐山 味 儿 不 浓 专 版 Ver 2.1 Build 15 | mn 


КИ ЖЕЙН S; 


II CCLR TES GMOLE: Тај ҺА 


E:ATTDOWNLDADdownbanki5ib My | ЕШ XE 
E:XTDDOWELOADdownbank]516 МУССАОШРИ 目录 


ТІНЕ 1 Мы 4006 3 OU ЕСА] 
开始 位 置 ЕО НЕЕ БИЕР (Ша) ЕЛО 


Еті" ВЕ 


о В, (984-2006 юрри BIF G 
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图 1-58 “填充 /特征 码 区 间 设 定 ” 对 话 框 


图 1-59 清除 所 有 文件 


图 1-60 “请 对 生成 目录 进行 杀毒 ”提示 框 
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图 1-61 查看 生成 文件 的 具体 路 径 
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图 1-62 ”查看 复合 特征 码 定 位 结果 
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ОСЕ Анне МНЕ ГА, МАЛАГА РТУ RES ER АТАР ТШ, (за Та 7S УЕ 
。 该 工具 的 具体 使 用 步骤 如 下 。 


ІШІ 


ZURO1: 下 载 并 运行 “OC 偏 移 量 转 换 器 ”软件 ， 即 可 打开 “地 址 转换 器 ” 主 窗口 ， 如 图 1-63 所 示 。 单 击 “ 选 择 要 转换 地 址 的 文 
件 ” 文 本 框 后面 的 “浏览 ”按钮 ， 即 可 打开 “打开 ”对 话 框 ， 如 图 1-64 所 示 。 
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QD 地 址 转换 器 
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图 1-63 “地 址 转换 器 ” 主 窗口 
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图 1-64 “打开 ”对 话 框 


步骤 02: 在 其 中 选择 需要 转换 地 址 文件 ， 单 击 “ 打 开 ” 按 钮 ， 即 可 在 “地 址 转换 器 ” 主 窗口 中 看 到 所 选择 的 文件 ， 如 图 1-65 所 
。 在 “文件 偏 移 ” 文 本 框 中 输入 文件 偏 移 地 址 ， 单 击 转换 按钮 一 ， 即 可 将 该 文件 偏 移 地 址 转换 为 “内 存 偏 黎 。， 如 图 1-66 所 
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图 1-65 查看 所 选择 的 文件 
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图 1-66 将 “文件 偏 移 转换 为 “内 存 偏 移 


步骤 03: 在 OC“ 地 址 转换 器 ”中 还 可 以 将 内 存 地 址 转换 为 文件 偏 移 地 址 。 在 “地 址 转换 器 ” 主 窗口 中 的 “内 存 偏 移 ” 文 本 框 中 
输入 要 转换 的 内 存 地 址 ， 如 图 1-67 所 示 。 单 击 转 换 按钮 < ， 即 可 将 该 内 存 偏 移 转换 为 对 应 的 文件 偏 移 地 址 ， 如 图 1-68 所 示 。 
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图 1-67 输入 要 转换 的 内 存 偏 移 地 址 
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图 1-68 ”将 该 内 存 偏 移 地 址 转换 为 文件 偏 移 地 址 


1.2.3 АЅРаскђ ГА 


АЅ5Раск 3 | ]ХАМтЗ2= А ТБН ШІН ГА, ПОНЯЛ ВЕ ЕЯ. 


压缩 过 的 文件 仍 可 正常 使 用 。 


利用 ASPack 对 木马 进行 加 壳 的 具体 操作 步 又 如 下 。 


步骤 01: 下 载 并 运行 ASPack2.28 软 件 ， 即 可 打开 ASPack 2.28 主 窗口 ， 如 图 1-69 所 示 。 


源 ”、“ 加 载 后 立即 运行 ”及 “使 用 Windows DLL 加 载 器 ”等 复 选项 ， 如 图 1-70 所 示 。 


另外 即使 将 ASPack 从 硬盘 中 删除 ， 曾 经 
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图 1-69 ASPack 2.28 主 窗口 
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图 1-70 “选项 ”选项 卡 


步骤 02: 选择 “打开 文件 ”选项 卡 ， 单 击 “ 打 开 ” 按 钮 ， 即 可 打开 “选择 要 压缩 的 文件 ”对 话 框 ， 在 其 中 选择 需要 加 壳 的 文件 ， 
如 图 1-71 所 示 。 


步骤 03: 蛙 击 “打开 ”按钮 ， 即 可 开始 进行 压缩 ， 如 图 1-72 所 示 。 在 “压缩 ”选项 卡 中 可 进行 压缩 、 测 试 操作 ， 并 在 完成 之 后 生 
БАЛИ ЛЕНУ, 


图 1-71 “选择 文件 压缩 ”对 话 框 
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打开 文件 Ей | 选项 | 关于 | 都 助 | 


H1-72 ”进行 压缩 


1.2.4 超级 加 化 器 
“超级 加 花 器 ”是 一 款 加 花 指令 工具 ， 该 工具 支持 附加 数据 目 动 检测 ， 对 于 存在 附加 数据 的 EXE、DLL 等 程序 加 花 后 仍 可 执行 。 
使 用 “超级 加 花 器 ”工具 加 论 指令 的 具体 操作 如 下 。 


步骤 01: 下 载 并 运行 “超级 加 花 嚣 V1.9” 工具， 即 可 打开 “超级 加 伦 器 ” 主 窗口 ， 如 图 1-73 所 示 。 和 直接 拖 动 需要 加 论 指令 的 程序 
到 “文件 名 ”文本 框 中 并 释放 鼠标 ， 在 “ 论 指 令 ” 下 拉 列 表 中 选择 相应 的 花 指令 ， 如 图 1-74 所 示 。 
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花 指令 的 名 称 可 以 是 中 文 或 者 英文 = 
花 指令 内 容 必须 旺 连 续 18 进 制 码 ， 不 能 有 空格 ; 
花 指令 内 容 大 小 应 小 于 255 字 节 。 
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图 1-73 “超级 加 花 器 ”窗口 
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图 1-74 ”添加 程序 并 选择 花 指 令 


步骤 02: 单 击 “加 伦 ” 按 钮 ， 即 可 看 到 “添加 成 功 ” 提 示 框 ， 如 图 1-75 所 示 。 单 击 “ 确 定 ” 按 钮 ， 即 可 完成 加 论 操作 。 


1-75 ” “添加 成 功 ” 提 示 框 


步骤 03: 在 “超级 加 花 句 ”工具 中 还 可 以 添加 自 定义 的 花 指令 。 在 “ 花 指令 名 称 ” 和 “ 花 指令 内 容 ”文本 框 中 分 别 输入 花 指令 的 
名 称 和 内 容 ， 如 图 1-76 所 示 。 
步骤 04: вар Чарт" 按钮 ， 即 可 看 到 “添加 花 指令 成 功 ， 并 加 载 成 功 ”提示 框 ， 如 图 1-77 所 示 。 单 击 “ 确 定 ”按钮 ， 即 可 成 功 


添加 该 花 指令 。 
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91-76 ”输入 花 指 令 名 称 和 内 容 


图 1-77 “添加 花 指令 成 功 ， 并 加 载 成 功 ” 提 示 框 


13 Левите 


黑客 在 入 侵 过 程 中 ， 往 往 会 用 到 一 些 辅助 工具 ， 如 在 入 侵 注册 表 时 使 用 RegSsnap 注 册 表 快照 工具 获得 目标 主机 注册 表 和 系统 的 信 
КА; 而 在 进行 密码 破解 时 则 使 用 字典 制作 工具 制作 字典 ， 从 而 实现 暴力 破解 密码 的 目的 。 


1.3.1 ”RegSnap 注 册 表 快照 工具 


Regsnap 是 一 个 优秀 的 注册 表 快 照 工具 ， 可 以 详细 地 报告 注册 表 及 其 他 与 系统 有 天 项 目的 修改 变化 情况 ， 且 其 报告 结果 既 可 以 纯 
文本 万 式 ， 也 可 以 HTML 网 页 方式 显示 。 除 报告 系统 注册 表 修 改 信息 外 ，RegSnap 还 可 以 报告 系统 的 其 他 情况 ， 如 Windows 的 系统 
目录 和 系统 的 system 子 目录 下 文件 的 变化 情况 ;Windows 的 系统 配置 文件 win.ini 和 system.ini 的 变化 情况 ， 以 及 目 动 批 处 理 文件 是 
人 否 补 修改 过 等 。 该 工具 的 具体 使 用 步骤 如 下 。 


步骤 01: 下 载 RegSnap 软 件 后 ， 双 击 RegSnap.exe 即 可 打开 regsnap 主 窗口 ， 如 图 1-78 所 示 。 
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步骤 02: 选择 “文件 "一 “新 建 ”菜单 项 或 单 击 工具 栏 中 的 加 
有 3 种 快照 方式 ， 各 种 快照 的 作用 如 下 。 


按钮 ， 即 可 打开 “保存 快照 ”对 话 框 ， 如 图 1-79 所 示 。 人 在 其 中 看 到 


1) 生成 所 有 项 目的 快照 : 除 记 录 注 册 表 的 数据 外 ， 还 可 记录 系统 目录 、 系 统 子 目录 、 系 统 配置 文件 、 系 统 上 自动 批 处 理 文件 及 引 
导 文 件 的 情况 等 信息 ， 默 认 选 中 该 选项 。 


2) 仅 生 成 注册 表 的 快照 : 该 选项 仅 对 注册 后 的 用 户 开 放 ， 主 要 是 选择 记录 局 域 网 上 某 台 计算 机 的 注册 表情 况 。 


3) 远程 PC 的 注册 表 : 记录 远程 计算 机 注册 表 的 数据 ， 但 是 只 适用 与 Reg9nap 专 业 版 。 


ә 生成 所 有 项 目的 快照 IERE 


ЧЕН ЕВЕ 
ARE рс 的 注册 老 Gui!) 选择 快照 的 创建 模式 。 目 前 有 三 种 模式 可 用 : 
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И UL 注册 表 并 创建 快照 。 
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图 1-79 “保存 快照 ”对 话 框 


注意 
保存 动态 链接 库 文件 的 版 本 信息 ” 复 选 框 的 作用 还 可 以 记录 每 个 键 值 及 DLL 文 件 的 变动 情况 
步骤 03: 在 其 中 选择 “生成 所 有 项 目的 快照 ” 蛙 选 项 ， 蛙 击 “ 确 定 ”按钮 ， 即 可 对 系统 注册 表 进 行 快照 ， 同 时 显示 具体 处 理 进度 


情况 ， 向 用 尸 报告 已 经 记录 了 多 少 个 键 值 ， 如 图 1-80 所 示 。 


ЕЛ ТЕ. 


1-80 ”进行 快照 


步骤 04: 人 在 照相 完毕 后 ， 即 可 看 到 “注册 表 快 照 ”信息 提示 框 ， 在 其 中 看 到 各 种 快照 列表 的 具体 保存 位 置 ， 如 图 1-81 所 示 。 
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图 1-81 “注册 表 快 照 ” 信 息 提示 框 


步骤 05: RegSnap 工 具 还 可 以 对 比 两 个 不 同 的 快照 ， 单 击 工具 栏 上 的 比较 型 按钮 ， 即 可 打开 “比较 快照 ”对 话 框 ， 如 图 1-82 所 
。 单 击 “ 第 一 个 快照 ”文本 框 后 面 的 “浏览 ”按钮 LJ， 即 可 打开 “打开 ”对 话 框 ， 如 图 1-83 所 示 。 


zl 


步骤 06: 在 其 中 选择 相应 的 应 用 程序 ， 单 击 “打开 ” 按 钮 ， 即 可 人 在 “比较 快照 ”对 话 框 中 看 到 所 选择 的 快照 文件 ， 如 图 1-84 所 
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步骤 07: 采用 同样 方法 选择 第 二 个 快照 文件 后 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 将 这 两 个 快照 文件 进行 比较 ， 具 体 比较 结果 如 图 1-85 所 
通过 比较 快照 文件 ， 可 以 掌握 注册 表 变 动情 况 。 


= | 


步骤 08: 在 regsnap 主 窗口 中 选择 “工具 ”一 “统计 ”菜单 项 ， 即 可 打开 “完成 注册 表 快 照 ” 信 息 框 ， 企 其 中 可 看 到 注册 表 中 各 
个 项 目的 统计 信息 ， 如 图 1-86 所 示 。 


步骤 09: 在 regsnap 主 窗口 中 选择 “工具 ”一 “编辑 快照 注释 ”菜单 项 ， 即 可 打开 “快照 注释 ”对 话 框 ， 在 其 中 输入 快照 注释 ， 
如 图 1-87 所 示 。 单 击 “ 确 定 ”按钮 ， 即 可 为 该 快照 文件 添加 注释 。 
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图 1-82 “比较 快照 ”对 话 框 
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图 1-83 “打开 ”对 话 框 
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图 1-84 选择 的 快照 文件 
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图 1-85 ”快照 文件 比较 结果 
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图 1-87 “快照 注释 ”对 话 框 


步骤 10: 在 regsnap 主 窗口 中 选择 “工具 ”一 “ 重 置 选项 ”菜单 项 ， 即 可 打开 “你 确定 吗 ” 提 示 框 ， 如 图 1-88 所 示 。 单 
и Е 
ХЕ 


击 “ 是 ”按钮 ， 即 可 重 置 regsnap 程 序 。 


regsnap 


你 确定 吗 ? 


1.3.2 字典 制作 工具 


密码 暴力 破解 虽然 是 黑客 攻击 比较 基本 的 一 项 技术 ， 但 要 成 功 破 解密 码 并 非 那么 简单 。 破 解 的 成 功率 取决 于 多 方面 的 因素 ， 例 如 
字典 的 制作 、 工 具 的 使 用 等 。 目 前 可 以 用 来 制作 字典 的 工具 很 多 ， 如 万 能 钥匙 字典 文件 制作 工具 、 易 优 超 级 字典 生成 器 以 及 流光 目 市 
的 字典 制作 工具 等 。 这 里 以 使 用 易 优 超级 字典 生成 器 为 例 介 绍 黑客 字典 的 具体 制作 方法 。 


使 用 吻 优 超级 字典 生成 字典 文件 的 具体 操作 步骤 如 下 。 


步骤 01: 下 载 并 运行 “ 易 优 超级 字典 生成 器 ”工具 ， 即 可 打开 “ 易 优 软件 -超级 字典 生成 器 ” 主 窗口 ， 在 其 中 可 以 看 到 吻 优 超级 
字典 生成 器 的 主要 功能 ， 如 图 1-89 所 示 。 
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其 中 选择 字典 文件 需要 数字 、 字 母 以 及 其 他 了 字符， 如 图 1-90 所 示 。 
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61-50 PRR- 超级 字典 生成 器 ” 主 窗口 
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图 1-90 “基本 字符 ”选项 卡 
步骤 03: 在 “生日 ”选项 卡 中 设置 生日 的 范围 以 及 显示 模式 等 属性 ， 如 图 1-91 所 示 。 
步骤 04: 选择 “生成 字典 ”选项 卡 ， 通 过 单 击 “ 浏 览 ”按钮 设置 要 生成 字典 文件 的 保存 位 置 ， 如 图 1-92 所 示 。 


步骤 05: 在 设置 元 “密码 位 数 ”属性 后 ， 单 击 “ 生 成 了 字典 ”按钮 ， 即 可 看 到 “ 真 的 要 生成 字典 吗 ” 提 示 框 ， 如 图 1-93 所 示 。 单 
“确定 ”按钮 ， 即 可 开始 生成 字典 文件 ， 待 完成 后 将 会 出 现 一 个 “字典 制作 完成 ”提示 框 ， 如 图 1-94 所 示 。 
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图 1-91 “生日 ”选项 卡 
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图 1-92 “生成 字典 ”选项 卡 
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1-93 “ 真 的 要 生成 字典 吗 ” 提 示 框 


图 1-94 “字典 制作 完成 ”提示 框 
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黑客 在 进行 攻击 前 ， 党 党 会 利用 专门 的 扫 摘 和 嗅 探 工具 对 目标 计算 机 进行 扫描 。 在 分 析 目 标 计 算 机 的 各 种 信息 之 后 ， 才 会 对 其 进 
行 攻击 。 本 章 将 介绍 几 球 常见 的 嗅 探 与 扫描 工具 。 


扫 搞 工具 和 距 探 工具 是 黑客 使 用 最 频繁 的 工具 ， 只 有 充分 掌握 了 目标 主机 的 详细 信息 ， 才 可 以 进行 下 一 步 操作 。 同 时 合理 地 利用 
扫描 和 嗅 探 工 具 ， 还 可 以 实现 配置 系统 的 目的 。 


Жара; 
端口 扫描 器 
: 漏洞 扫 摘 器 


. 常见 的 噢 探 工具 


- Real Spy Monitor 监 控 网 络 


2.1 09113088 


由 于 网 络 服务 和 端口 是 一 一 对 应 的 ， 如 FTP 服 务 通常 开设 在 TCP 21 端 口 ，Telnet 服 务 通常 开设 在 TCP 23 端 口 ， 所 以 黑客 在 攻击 
前 要 进行 端口 扫 摘 ， 其 主要 目的 是 取得 目标 主机 开放 的 端口 和 服务 信息 ， 从 而 为 “漏洞 检测 ”做 准备 。 


2.1.1 Х-5сапі 28 


X-Scan 工 具 采 用 多 线程 方式 对 指定 IP 地 址 段 (或 单机 ) 进行 安全 漏洞 检测 ， 且 支持 插件 功能 。 它 可 以 扫描 出 操作 系统 类 型 及 版 
Ж, ЖЕГІ ПВАММЕМЕЕ, CGIE]. ИЕ. ВРС. SQL-SERVER. FTP-SERVER. ЅМТР-ЅЕВМЕВ, POP3- 
SERVER、NT-SERVER 弱 口令 用 户 、NT 服 务 器 NETBIOS 等 信息 。 


(1) 设置 X-Scan 扫 描 器 


在 使 用 X-Scan 扫 摘 器 扫 搬 系统 之 前 ， 需 要 先 对 该 工具 的 一 些 属性 进行 设置 ， 例 如 扫描 参数 、 检 测 范 围 等 。 设 置 和 使 用 X-Scan 的 
具体 操作 步骤 如 下 。 


步骤 01: 在 X-Scan 文 件 夹 中 双击 X-Scan_gui.exe 应 用 程序 ， 即 可 打开 X-Scan v3.3 GUI 主 窗口 ， 在 其 中 可 以 浏览 此 软件 的 功能 简 
介 、 常 见 问题 解答 等 信息 ， 如 图 2-1 所 示 。 单 击 工具 栏 中 的 扫描 参数 按钮 号 ， 即 可 打开 “扫描 参数 ”对 话 框 ， 如 图 2-2 所 示 。 
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步骤 02: Та енін "АБЫ" ”文本 框 中 输入 要 扫描 的 IP 地 址 范围 。 若 不 知道 输入 的 格 
式 ， 则 可 以 单 击 “ 示 例 ” 按 钮 ， 即 可 打开 “示例 ”提示 框 ， 在 其 中 看 到 各 种 有 效 格式 ， 如 图 2-3 所 示 。 
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步骤 03: ТЕ “елен” Шен “ЕЙ” Xu, БИІНЕН ЕНІНЕН, ЖЕТЕТШ ЕЕЕ 
的 模块 的 相关 说明 ， 如 图 2-4 所 示 。 
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H2-2 “扫描 参数 ”对 话 框 
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图 2-3 “示例 ”提示 框 


步骤 04: 由 于 X-Scan 是 一 釉 多 线程 扫 摘 工具 ， 所 以 可 以 企 “ 并 上 友 扫 朱 ” 子 选项 中 设置 扫 摘 时 的 线程 数量 ， 如 图 2-5 所 示 。 在 “ 扫 
摘 报 告 ” 子 选 项 中 可 以 设置 扫 摘 报 告 仓 放 的 路 径 和 文件 格式 ， 如 图 2-6 所 示 。 
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图 2-4 设置 “扫描 模块 ， 子 选项 
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图 2-5 设置 “并 发 扫描 ， 子 选项 
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图 2-6 设置 “扫描 报告 там 


如 果 需 要 保存 设置 的 扫描 IP 地 址 范围 ， 则 在 匀 选 “保存 主机 列表 ” 复 选 框 后 输入 保存 文件 名 称 ， 就 可 以 直接 调用 这 些 IP 地 址 范围 
了 。 如 果 在 扫描 结束 时 自动 生成 报告 文件 并 显示 报告 ， 则 可 勾 选 “扫描 完成 后 自动 生成 并 显示 报告 ” 复 选 框 。 


步 又 05: 在 “其 他 设置 ” 子 项 中 可 以 设置 扫 摘 过 程 的 其 他 属性 ， 如 设置 扫 摘 方式 、 显 示 详 细 进 大 等 ， 如 图 2- 7 所 示 。 


步骤 06: 单 击 “ 插 件 设置 ”选项 下 的 “ 奖 口 相关 设置 ” 子 选 项 ， 即 可 设置 扫 摘 闯 口 学 围 以 及 检测 方式 ， 如 图 2-8 所 示 。X-scan 提 
供 TCP 和 3SYN 两 种 扫 摘 方式 ; 各 要 扫 摘 某 主机 的 所 有 闯 口 ， 则 在 “ 待 扫 摘 痛 口 ”文本 框 中 输入 “1~65535” 即 可 。 
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2-7 设置 “其 他 设置 ” 子 选 项 
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图 2-8 设置 “端口 相关 设置 ” 子 选 项 


步骤 07: 在 “SNMP 相 天 设 置 ” 子 选 项 中 勾 选 相应 的 复 选 枉 ， 即 可 设置 在 扫 摘 时 获取 SNMP 信 息 的 内 容 ， 如 图 2-9 所 示 。 
在 “NETBIOS 相 关 设 置 ” 子 选 项 中 设置 需要 获取 的 NETBIOS 信 息 类 型 ， 如 图 2-10 所 示 。 


ЕЗ да clos etm 


MEL EUROS 
由 BE 


ДЕЙШ T saw jS : 


.091 相关 | 
n FMR 


62-0 ”设置 “SNMP 相 关 设 置 ” 子 选项 


图 2-10 设置 “NETBIOS 相 关 设 置 ” 子 选项 


步骤 08: 在 “漏洞 检测 脚本 设置 ” 子 选 项 中 取消 勾 选 “全 选 ” 复 选 框 之 后 ， 单 击 “ 选 择 脚 本 ”按钮 ， 即 可 打开 select 
Scripts (选择 脚本 ) 对 话 框 ， 如 图 2-11 所 示 。 


步 又 09: 在 选择 检测 的 脚本 文件 忆 后 ， 单 击 “ 确 定 ”按钮 返回 “ 扫 摘 参数 ”对 话 框 中 ， 分 别 设置 脚本 运行 超时 和 网 络 读 取 超 时 等 
属性 ， 如 图 2-12 所 示 。 
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设置 脚本 运行 属性 


步骤 10: 在 “CGI 相关 设置 ” 子 选 项 中 可 设置 扫 拉 时 需要 使 用 的 CGI 选项 ， 如 图 2-13 所 示 。 在 “字典 文件 设置 ” 子 选项 中 双击 字 
典 类 型 ， 即 可 打开 “打开 ”对 话 框 ， 如 图 2-14 所 示 。 
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图 2-13 ”设置 “CGI 相关 设置 ” 子 选 项 


11: 在 其 中 选择 相应 的 字典 文件 ， 单 击 “ 打 开 ” 按 钮 返回 到 “ 扫 摘 参数 ”对 话 框 ， 即 可 看 到 选中 的 文件 名 字 和 可 以 选择 的 字 
典 文件 ， 如 图 2-15 所 示 。 在 设置 好 所 有 选项 乙 后 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 完成 设置 。 
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М1 


将 来 如 果 还 想 使 用 相同 设置 进行 扫描 ， 则 可 以 对 本 次 设置 进行 保存 。 在 “扫描 参数 ”对 话 框 中 单 击 “ 另 存 ”按钮 ， 即 可 打开 “ 另 
存 为 ”对 话 框 ， 在 其 中 设置 保存 的 位 置 和 名 称 。 单 击 “ 确 定 ” 按 钮 完成 设置 。 而 当 再 次 使 用 时 只 需 单 击 “ 载 入 ”按钮 选择 已 保存 的 文 
件 即 可 。 


(2) 使 用 X-Scan 进 行 扫描 
在 设置 完 X-Scan 各 个 属性 后 ， 就 可 以 利用 该 工具 对 指定 IP 地 址 学 围 内 的 主机 进行 扫 摘 。 
具体 的 操作 步骤 如 下 。 


步骤 01: fEX-Scan v3.3 GUI 主 窗口 中 单 击 开始 扫描 按钮 了 ， 即 可 加 载 漏洞 检测 脚本 ， 如 图 2-16 所 示 。 待 加 载 完 毕 后 ， 即 可 进行 
扫 朱 ， 在 扫描 的 同时 显示 扫 拉 进程 和 扫 摘 所 得 到 的 信息 ， 如 图 2-17 所 示 。 


№» X-Scan v3.3 GUI 
НУ) та) ВЕК) ТЕМУ) Language ЯВ) 
орша 8 


ПЕЛЕ ERR ERU... 


2-16 ”加 载 漏洞 检测 脚本 
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图 2-17 “显示 扫描 进程 和 信息 


步骤 02: 在 扫 拉 完成 乙 后 ， 即 可 看 到 HTML 格 式 的 扫描 报告 ， 可 看 到 活动 主机 IP 地 址 、 人 存在 的 系统 漏洞 和 其 他 安全 隐患 ， 同 时 还 
提出 了 安全 隐患 的 解决 万 案 ， 如 图 2-18 所 示 。 
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92-18 HTML 格式 的 扫描 报告 
步骤 03: 在 X-Scan v3.3 GUI 主 窗口 中 选择 “漏洞 信息 ”选项 卡 ， 即 可 看 到 仔 在 漏洞 的 主机 信息 。 


步骤 04: 利用 X-Scan 扫 描 工具 不 仅 可 以 扫描 目标 计算 机 开放 端口 及 存在 的 安全 隐患 ， 还 具有 查询 目标 计算 机 物理 地 址 、 检 测 本 
地 计算 机 网 络 信息 和 Ping 目 标 计 算 机 等 功能 。 在 X-Scan 窗 口中 选择 “工具 ”一 “物理 地 址 查询 ”菜单 项 ， 即 可 打开 “工具 ”对 活 
框 ， 在 “IP 地 址 /主机 名 ”文本 框 中 输入 相应 的 IP 地 址 ， 如 图 2-19 所 示 。 
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2-19 ”输入 IP 地 址 


步骤 05: 蛙 击 “查询 物理 地 址 ”按钮 ， 即 可 查看 目标 计算 机 的 信息 。 在 ARP query (ARP 查 询 ) 选项 卡 中 单 击 Query (Eng) 按 
钮 ， 即 可 显示 出 本 机 所 在 局 域 网 中 所 有 主机 的 IP 地 址 和 物理 地 址 。 在 该 工具 中 还 可 以 执行 域名 查询 、 路 由 跟 路 等 操作 。 


2.1.2 Superscan 扫 摘 器 


扫描 类 黑客 工具 SuperScan 自 带 有 一 个 木马 端口 列表 Trojans.lst， 通 过 这 个 列表 可 以 检测 目标 计算 机 是 否 有 木马 ， 也 可 以 自 定义 
修改 这 个 木马 端口 列表 。 主 要 功能 有 通过 Ping 检 验 IP 是 否 在 线 、IP 和 域名 相互 转换 、 检 验 目 标 计算 机 提供 的 服务 类 别 、 检 验 一 定 范围 
目标 计算 机 是 否 在 线 和 端口 情况 等 。 使 用 SuperScan 进 行 扫描 的 具体 操作 步骤 如 下 。 


步骤 01: 下 载 SuperScan 工 具 之 后 ， 运 行 其 中 的 SuperScan.exe 应 用 程序 ， 即 可 打开 SuperScan 4.0 主 窗口 ， 如 图 2-20 所 示 。 


步骤 02: 在 “开始 IP” 和 “结束 IP” 文 本 框 中 设置 要 扫描 的 IP 范 围 之 后 ， 单 击 - 按钮 ， 即 可 将 其 添加 到 右边 的 列表 中 ， 如 图 2-21 
所 示 。 
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2-20 SuperScan 4.0 主 窗口 
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图 2-21 添加 IP 地 址 范围 


步骤 03: 在 设置 完毕 之 后 ， 单 击 ， | 按钮 ， 即 可 开始 扫描 。 在 扫描 结束 之 后 ，SuperScan 将 提供 一 个 主机 列表 ， 用 于 显示 每 台 扫 
描 过 的 主机 被 发 现 的 开放 端口 信息 ， 如 图 2-22 所 示 。 


步骤 04: SuperScan 还 有 选择 以 HTML 格 式 显示 信息 的 功能 ， 单 击 “ 查 看 HTML 结 果 ” 按 钮 ， 即 可 打开 SuperScan Report 页 面 ， 
在 其 中 显示 扫描 了 的 主机 和 以 及 每 台 主 机 中 开放 的 端口 ， 如 图 2-23 所 示 。 
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62-22: ”查看 扫描 结果 
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图 2-23 SuperScan Report Д ú 


步骤 05: 在 SuperScan 软 件 中 还 可 自己 定制 扫描 方式 。 在 SuperScan 4.0 主 窗口 中 单 击 “Windows 枚 举 ” 选 项 卡 ， 在 “主机 
名 /IP/URL” 文 本 框 中 输入 目标 主机 的 IP 地 址 ， 如 图 2-24 所 示 。 单 击 “ 枚 举 ” 按 钮 ， 即 可 在 列表 中 看 到 该 主机 各 种 信息 ， 如 图 2-25 所 


7Jvo 


步骤 06: 在 “主机 和 服务 扫 摘 设置 ”选项 卡 中 可 以 设置 扫 摘 主机 和 服务 的 各 种 属性 ， 如 图 2-26 所 示 。 如 人 在 “ 碍 找 主机 ”栏目 
将 “ 友 现 主机 ”方法 设置 为 “ 回 显 请 求 ”; 在 “UDP 闯 口 扫 摘 ”和 “TCP 闯 口 扫 摘 ”栏目 中 设置 要 扫 摘 的 站 口 。 因 为 一 般 的 主机 都 有 
超过 65000 个 的 TCP 和 UDP 闯 口 ， 大 对 每 个 可 能 开放 冰 口 的 |P 地 址 进行 超过 130000 次 的 痛 口 扫 摘 ， 将 无 疑 需要 耗费 大 长 的 时 间 。 这 里 
需要 目 己 定义 要 扫描 站 口 汉 围 ， 也 可 以 只 扫 摘 单 用 的 几 个 闯 口 。 
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图 2-24 “Windows 枚 举 ” 选 项 卡 
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92-25 ” 枚 举目 标 主 机 信息 


在 “主机 和 服务 扫描 设置 ”选项 卡 中 选择 的 选项 越 多 ， 则 扫描 用 的 时 间 就 越 长 。 如 果 用 户 正 在 试图 尽量 多 地 收集 一 个 明确 的 主机 
信息 ， 建 议 先 执行 一 次 常规 的 扫描 以 发 现 主机 ， 再 利用 可 选 的 请 求 选项 来 扫描 。 


步骤 07: 在 “ 扫 摘 选项 ”选项 卡 中 设置 与 扫 摘 有 关 的 各 种 属性 ， 如 将 “检测 开放 主机 次 数 ” 设 置 为 1， 如 图 2-27 所 示 。 还 可 以 设 
置 扫描 速度 和 通过 扫描 的 数量 ， 其 中 “查找 主机 名 ”选项 可 设置 主机 名 解析 通过 的 数量 (默认 值 是 1) 。 当 扫描 速度 设置 为 0 时 ， 虽 然 
扫描 速度 最 快 ， 但 却 存在 数据 包 溢 出 的 可 能 。 如 果 担 心 SuperScan 引 起 的 过 量 包 溢出 ， 则 最 好 调 慢 SuperScan 扫 描 的 速度 。 


N 


“获取 标志 ”选项 用 于 显示 一 些 信 息 尝 试 得 到 远程 主机 的 回应 (默认 延迟 是 8000 毫 秒 ) ， 如 果 所 连接 主机 较 慢 ， 则 该 段 时 间 就 不 
够 长 。 沁 边 滚动 条 是 扫描 速度 调节 选项 ， 用 于 调节 SupetScan 在 发 送 每 个 包 时 所 要 等 待 的 时 间 (调节 滚动 条 为 0 时 扫描 速度 最 快 ) 。 


步骤 08: 在 “工具 ”选项 卡 中 可 利用 SuperScan 提 供 的 各 种 工具 得 到 目标 主机 的 各 种 信息 ， 如 图 2-28 所 示 。 如 果 想 得 到 目标 主机 
的 主机 名 ， 则 在 “主机 名 /IP/URL” 文 本 框 中 输入 目标 主机 IP 地 址 ， 单 击 “ 查 找 主机 名 /IP” 按 钮 ， 即 可 得 到 该 主机 的 主机 名 ， 如 图 2- 
29777. 
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Saved log file Live: 1 Тр open: 0 мге open: 1 100/100 done 
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00-512 Saved log file ТСР ореп:0 ШОР ореп 1 |100/100 done 
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2.1.3 ScanPort 
ScanPort 软 件 不 但 可 以 用 于 网 络 扫 描 ， 同 时 还 可 以 探测 指定 IP 及 端口 ， 速 度 比 传统 软件 快 ， 既 支持 用 户 自 设 IP 端 口 又 增加 了 其 灵 
活性 。 具 体 的 使 用 方法 如 下 。 


步骤 01: 下 载 并 运行 ScanPort 程 序 ， 即 可 打开 ScanPort 主 窗口 ， 在 其 中 设置 起 始 IP 地 址 、 结 束 IP 地 址 以 及 要 扫描 的 端口 号 ， 如 
图 2-30 所 示 。 单 击 “ 扫 描 ” 按 钮 ， 即 可 进行 扫描 ， 从 扫 搁 结果 中 可 以 看 出 设置 的 IP 地 址 7 段 中 计算 机 开局 的 新 口 ， 如 图 2-31 所 示 。 
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8231 扫描 后 的 结果 


步骤 02: 如 果 扫 摘 有 某 人 台 计 算 机 中 开局 的 闯 口 ， 则 将 开始 IP 和 结束 |P 都 设置 为 该 主机 的 IP 地 址 ， 如 图 2-32 所 示 。 在 设置 完 要 扫描 的 
闯 口 号 乙 后 ， 单 击 “ 扫 摘 ” 按 钮 ， 即 可 扫 摘出 该 主机 中 开局 的 问 口 〈 设 置 闯 口 范围 之 内 ) ， 如 图 2-33 所 示 。 
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图 2-32 ”扫描 茶 台 计算 机 开局 的 端口 
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图 2-33 ”扫描 该 主机 中 开启 的 端口 


2.1.4 ЯЯ 13028 


ЈЕВ НУР "Фома" ЛУУДА, YRRILASCHUCEZSEGRIPIOHE, ЖЕНА ЕН УА. МЪЖ 
XLS 格 式 。 使 用 该 工具 扫 摘 端口 的 操作 步骤 如 下 。 


1E 


步骤 01: ЕА т "а 3 88М2.0.500" , Бета "Бом Еее" EAO, /ЕІ2-34Ғ тх. УЕ "29015 
置 ” 选 项 卡 ， 即 可 看 到 该 工具 自 带 的 I|P 地 址 段 以 及 各 种 参数 ， 如 图 2-35 所 示 。 
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E234 “极速 端口 扫描 器 ” 主 窗 口 
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步骤 02: 如 果 要 对 目标 主机 进行 扫 指 ， 则 需 添加 指定 的 IP 段 。 在 “参数 设置 ”选项 卡 中 单 击 “ 增 加 ”按钮 ， 即 可 打开 “IP 段 编 
辑 ” 对 话 框 ， 如 图 2-36 所 示 。 
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图 2-36 “IP 段 编辑 ”对话 杠 


步骤 03: 在 “开始 IP” 和 “结束 I|P” 文 本 框 中 分 别 输入 起 始 IP 地 址 和 结束 IP 地 址 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 将 该 IP 段 添加 到 “ 搜 
系 |P 段 设置 ”列表 中 ， 如 图 2-37 所 示 。 


步骤 04: 蛙 击 “全 消 ” 按 钮 ， 即 可 取消 选择 所 有 的 IP 段 。 在 其 中 多 选 刚 添加 的 IP 段 ， 将 要 扫 摘 的 端口 设置 为 80， 如 图 2-38 所 示 。 
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图 2-37 ”将 IP 段 添加 到 “搜索 IP 段 设置 ”列表 中 
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图 2-38 设置 扫描 参数 


步骤 05: 选择 “开始 搜索 ”选项 卡 ， 在 其 中 单 击 “ 开 始 搜索 ”按钮 ， 即 可 扫 摘 捐 定 的 IP 段 ， 扫 摘 结果 如 图 2-39 所 示 。 可 以 将 扫 摘 
的 结果 保存 为 纯 文本 、 网 页 、XLS 等 格式 。 在 “开始 搜索 ”选项 卡 中 单 击 “ 导 出 ”按钮 ， 即 可 打开 “另存 为 ”对 话 框 ， 如 图 2-40 所 
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图 2-39 “开始 搜索 ”选项 卡 
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4240 “另存 为 ”对 话 框 


步骤 06: 在 设置 完 保 他 名称 和 路 径 ， 单 击 “ 保 仓 ” 按 钮 ， 即 可 将 扫 摘 结果 保存 为 记事 本 文件 格式 。 打 开 保 仓 的 搜索 结果 ， 即 可 看 
到 搜索 到 的 |P 地 址 及 搜索 的 闯 口 ， 如 图 2-41 所 示 。 
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2.2 


安全 管理 员 还 需要 做 很 多 工作 ， 如 漏 洱 的 及 时 升级 、 及 时 


. 68. 
. 10. 
. ГО. 


漏洞 扫 拍 器 


员 查 找 系统 中 的 缺陷 。 


2.2.1 


系统 漏洞 扫 摘 器 99S (Shadow Security Scaner) BSUJBE(RSEZK, Пт 31]. i 


Unicode/Decode/printer 探 测 、 (POP3/FTP) 密码 破解 、 


步骤 01 : 


SSS 扫 搬 器 


== 


cm- сш ш — s — 


*nixSS TRI. 
探测 出 的 漏洞 ， 有 详细 的 说 明和 解决 方法 。 


图 2-41 


利用 39s 扫 摘 器 对 系统 漏洞 进 


查看 搜索 报告 


全 系统 打 补 丁 、 设 置 正 确 的 用 户 权 限 等 ， 而 漏洞 扫 摘 工具 可 以 帮助 管理 


行 扫 摘 的 具体 操作 步骤 如 下 。 


示 。 单 击 工具 栏 中 的 New session (新 建 项 目 ) 按钮 ， 即 可 打开 New session 窗 口 ， 如 图 2-43 所 示 。 


口 banner 探 测 、CGI/ASP 弱 点 探测 、 
拒绝 服务 探测 、 操 作 系 统 探测 、 


NT 共享 /用 户 探测 。 对 于 


在 安装 好 SSS 软 件 后 ， 双 击 Shadow Security Scaner 图 标 ， 即 可 打开 Shadow Security Scaner 主 窗口 ， 如 图 2-42 所 
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图 2-42 Shadow Security Scanet 主 窗口 


Hew session wizard 


Flease, select rule For пем session and enter comments. Step 1 af 2 


Rule name —— шерип 
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leac ta lock-up or hangs and разлога 
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Тһе rule enable scanning of all ports —— 
[1..55355] and vulnerabilities af the remote 
computer except For "Dos tests" which ma 
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password verification via NetBIOS із switck 
aE 


Desoription of sessio | | 


图 2-43 New session 窗口 


步骤 02: 可 选择 预 设 的 扫描 规则 ， 也 可 单 击 Add rule (添加 规则 ) 按钮 添加 扫 拉 规则 。 单 击 “ 添 加 规则 ”按钮 ， 即 可 打开 
Create new rule (创建 新 规则 ) 对 话 框 ， 如 图 2-44 所 示 。 


С) Create сору of the rule 
Complete Scan 
© Create default rule 


Please. enter new rule name. 


| 
new rule 


图 2-44 Create new rule xT tE 4E 


步骤 03: 选中 Create copy of the rule (创建 副本 的 规则 ) 单 选项 ， 在 其 下 拉 列 表 中 选择 Complete Scan (ZEH) 选项 ; 
再 输入 新 创建 规则 的 名 称 ， 单 击 OK 按 钮 ， 即 可 打开 Security Scanner Rules 窗 口 ， 如 图 2-45 所 示 。 


步骤 04: 在 其 中 设置 相应 的 属性 ， 单 击 OK 按钮 返回 到 New session 窗 口 ， 即 可 看 到 新 创建 的 规则 ， 如 图 2-46 所 示 。 


步 又 05: 选中 刚 创建 的 规则 后 ， 单 击 Next (下 一 步 ) 按钮 ， 即 可 打开 添加 扫 摘 主 机 窗口 ， 如 图 2-47 所 示 。 单 击 Add host (添加 
主机 ) 按钮 ， 即 可 打开 “添加 主机 ”对 话 框 ， 如 图 2-48 所 示 。 
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图 2-45 Security Scanner Rules @ 5 
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92-46 ”查看 新 创建 的 规则 
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2-47 添加 扫描 主机 对 话 框 
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Password x 


图 2-48 Add host*] ЛЕ 


步骤 06: 选择 Hosts range 单 选项 ， 在 From IP 和 To IP 文 本 框 中 分 别 输入 起 始 IP 地 址 和 终止 1P 地 址 ， 单 击 Add 按 钮 ， 即 可 在 添加 
扫描 主机 窗口 中 看 到 添加 的 IP 地 址 段 ， 如 图 2-49 所 示 。 


提示 


如 果 要 扫描 单个 计算 机 ， 则 需 在 “添加 主机 ”对 话 框 中 选择 “Host (主机 ) ” 单 选项 ， 在 Name or IP 文 本 框 中 输入 目标 计算 机 的 


IP 地 址 或 名 称 ; 如 果 要 添加 已 经 存在 的 主机 列表 ， 则 选择 Host Нот Не (主机 来 自 于 文件 ) 单 选 项 ; 如 果 选 择 Host groups 单 选项 ， 则 
表示 通过 添加 工作 组 的 方式 添加 目标 计算 机 。 
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图 2-49 ”添加 的 IP 地 址 段 


步 又 07: 单 击 Next (下 一 步 ) 按钮 ， 即 可 完成 扫 摘 项 目的 创建 并 返 回 Shadow Security Scaner 主 窗口 ， 在 其 中 看 到 所 添加 的 主 
机 。 


步骤 08: 单 击 工具 栏 上 的 start Scan (ЕАН) 按钮 ， 即 可 开始 对 目标 计算 机 进行 扫 摘 ， 并 可 在 statistics 标 等 卡 中 得 看 扫 摘 进 
TE, 如 图 2-50 所 示 。 


步骤 09: fina, Vulnerabilities (漏洞 ) 选项 卡 中 可 看 到 扫描 出 的 漏洞 程序 ， 单 击 相应 的 漏洞 程序 ， 在 下 万 看 到 该 漏 
洞 的 介绍 以 及 补救 措施 ， 如 图 2-51 所 示 。 
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2-50 对 主机 进行 扫描 


步骤 10: 使 用 SSS 还 可 以 进行 DoS 安 全 性 进行 检测 。 单 击 左 侧 的 DoS Checker (DoS 检 查 器 ) 按钮 ， 即 可 打开 “DoS 检 查 器 ”对 
话 框 ,如 图 2-52 所 示 。 人 在 其 中 选择 检测 的 项 目 并 设置 扫 搬 的 线程 数 (Threads) , $start (开始 ) 按钮 ， 即 可 进行 DoS 检 测 。 


步骤 11: 在 Shadow Security Scaner 主 窗口 中 选择 Tools (ТЕ) —Options (选项 ) 菜单 项 ， 即 可 打开 Security Scaner 
Options (SSS 选 项 设置 ) 对 话 框 ， 在 其 中 可 以 设置 扫描 各 个 选项 ， 如 图 2-53 所 示 。 
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图 2-51 漏洞 选项 卡 
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图 2-53 “SSS 选 项 设置 ”对 话 框 


2.2.2 S-GUI Мег 8 


S-GUI Ver 扫 摘 器 是 以 3.EXE 为 核心 的 可 视 化 闯 口 扫 摘 工具 ， 叉 持 多 痛 


口 扫 摘 、 文 持 线程 控制 、 隐 藏 扫 搞 、 扫 摘 列 表 、 去 挥 站 
口 、 自 动 整理 扫 摘 结果 等 。 


使 用 -GUI Vet 扫 摘 嚣 扫 拉 漏洞 的 具体 操作 步骤 如 下 。 


步骤 01: 下 载 并 解压 S-GUI Ver2.0 软 件 ， 双 击 其 中 的 S-GUI Ver2.0.exe 文 件 ， 即 可 打开 S-GUI Ver2.0 主 窗口 ， 如 图 2-54 所 示 。 


步骤 02: 在 “ 扫 摘 分 段 ” 选 项 框 中 分 别 输入 开始 扫 摘 的 |P 地 址 和 结果 扫 摘 的 IP 地 址 ， 在 “ 扫 摘 设 置 ” 


选项 框 中 的 “端口 ”文本 框 
中 输入 要 扫 换 的 病 口 ， 在 “协议 ”选项 区 中 选择 TCP 单 选项 ， 如 图 2-55 所 示 。 


步骤 03: 单 击 “ 开 始 扫 摘 ”按钮 ， 即 可 打开 “提示 ”信息 框 ， 在 其 中 看 到 “ 扫 摘 已 经 开始 ， 正 在 扫描 中 ， 扫 摘 完 毕 后 有 提示 ”的 
提示 信息 ， 如 图 2-56 所 示 。 


步骤 04: 单 击 “ 确 定 ” 按 钮 ， 即 可 打开 Windows Script Host 提 示 框 ， 在 其 中 看 到 “ 扫 摘 完毕 ! ЛЕ..." 提示 信息 ， 如 图 
2-57 所 示 。 
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6|2-54 S-GUI Ver2.0 主 窗口 
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图 2-55 “输入 扫描 IP 后 的 S-GUI Ver2.0” 窗 口 


图 2-56 “提示 ”对 话 框 


图 2-57 “Windows Script Host” 对 话 框 


步 又 05: 单 击 “ 确 定 ” 按 钮 ， 即 可 返回 S-GUI Ver2.0 主 窗口 ， 单 击 右 侧 “ 载 入 结果 ”按钮 ， 即 可 打开 “提示 ”信息 框 ， 在 其 中 看 
到 “你 真 的 要 [ 载 入 结果 ] 吗 ? 如 果 “是 ”将 会 覆 关 挥 扫 摘 结果 ] 中 的 原 有 数据 ”提示 信息 ， 如 图 2-?8 所 示 。 


提示 8 | к= = | 


图 2-58 “提示 ”对 话 框 
步骤 06: 单 击 “ 是 ”按钮 ， 即 可 将 扫 摘 结果 添加 到 “ 扫 摘 结果 ”文本 区 域 中 ， 在 其 中 看 到 扫 摘 到 的 开放 指定 痛 口 主机 的 IP 地 址 以 
及 疹 口 号 ， 如 图 2-59 所 示 。 
5-GUI Ver 2.0 - 3&5. EXERTTRLLERI ЗЕН ШЫ НАН he ee) 
imm: на 8: 
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aM: с те те В: [v ВЕ 


ЕАН | 
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uus | {Н Безш+ | 


Е | „|! | Ж ЇЙ гї 
再 空 列 去 | ЕЕН РЫ. 


RTIA. 
作者 : 阿 龙 88: 207224693 ТЕ EA: кеа. p50. ca 制作 日 其 :2007 年 #8 月 28 日 更 新 日 期 :2007.06.30 


2-59 ”将 扫描 结果 添加 到 “扫描 结果 ”文本 区 域 中 


步骤 07: 如 果 想 要 将 扫 摘 结果 内 容 放 入 磊 侧 扫 摘 列表 中 ， 单 击 “ 友 送 询 表 ” 按 钮 ， 即 可 打开 “提示 ”信息 框 ， 企 其 中 看 到 “你 真 
的 要 将 的 摘 结 果 ] 友 送 到 上 扫 摘 列表 ] 吗 ”如 果 “是 ”将 会 履 兰 挥 [上 扫 摘 列表 ] 中 的 原 有 数据 ”提示 信息 ， 如 图 2-60 所 示 。 


步骤 08: 曲 击 “是 ”按钮 ， 即 可 打开 “已 经 太 送 到 上 扫 摘 列 表 ] 中 并 去 反 了 应 口号 ”提示 框 ， 如 图 2-61 所 示 。 单 击 “ 确 定 ” 按 钮 ， 
即 可 在 3-GUI Ver2.0 主 窗口 左 人 出“ 扫描 列表 ”中 看 到 扫 换 到 的 主机 列表 ， 如 图 2-62 所 示 。 


步骤 09: 单 击 “ 打 开 Result” 按 钮 ， 即 可 用 记事 本 打开 Result 文 件 ， 如 图 2-63 所 示 。 在 其 中 即 可 看 到 具体 的 扫描 信息 。 


62-60 “提示 ”对 话 框 
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图 2-61 已 经 发 送 提 示 框 
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图 2-62 ”将 主机 添加 到 “扫描 列表 ”中 
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图 2-63 ”用 记事 本 打开 Result 文 件 


2.3 &S UI АНУ [E 


作为 一 名 黑客 ， 强 大 的 黑客 工具 目 然 是 必 不 可 少 ， 嗅 探 工 具 丈 是 黑客 使 用 最 多 、 使 用 最 频繁 的 工具 。 只 有 充分 掌握 了 被 攻击 主机 
的 相 天 信息 ， 下 一 步 操作 才能 得 心 应 手 。 


2.3.1 WinArpAttacker 

WinArpAttacker 是 一 款 ARP 欺 骗 攻 击 工 具 ， 被 攻击 的 主机 无 法 正常 与 网 络 进行 连接 。 该 工具 还 是 一 款 网 络 嗅 探 (监听 ) ІН, 
可 以 嗅 探 网 络 中 的 主机 、 网 关 等 对 象 ， 同 时 也 可 以 进行 反 监听 ， 扫 描 局 域 网 中 是 否 存 在 监听 等 操作 。 

利用 WinArpAttacker 进 行 嗅 探 并 实现 欺骗 工具 的 具体 操作 步骤 如 下 。 


步骤 01: 在 安 半 WinPcap 软 件 后 ， 双 击 WinArpAttacker 文 件 夹 中 的 WinArpAttacker.exe 应 用 程序 ， 即 可 打开 WinArpAttacker 
主 窗口 ， 如 图 2-64 所 示 。 


| | — | El joi im 


M Untitled - Win&cpAttacker 3.70 Build 2006.09.04 — 


= 


RPBE-MW “веризо 


| IP Address Mac Address Hostname |Online | Sniffing | Attack ArpSQ | ArpSP | ArpR..| ArpRP | Кесу | Traffic(K) Traffic(K) 
вечные — [бы — [P [мы PE 
192.158.1.1 8C-21-0A-89-AE-.. Гупа... E 

| 182.158.1.2 90-2В-34-04-70-. Гупа... 

192.158.1.15 90-2B.34-00-76-.. Гупа... 

| 192.105.1.55 CE-50-D0-78-58-. Oyma.. 

192.168.1100 | 68-DF-DD-92-22.. Гупа... 
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192.158.1.103 88-E3-AB.DF.CS... Гупа... 
и [0814/4 10:42-52] —— МупъАгражаскег 3.70 Вим 2008.09.04 T 
|| [0814/1 4 10:42-52] This program ів fraawara, во you can иза and radistributa it freely. 
[DBé14/14 10:42: 54] CArpSender Error: GatzvwayMac is NULL ! 


| Rean P: 192.168.56.1 Мас: 0B-00-27-00-EB-C | GW: 0.0.0.0 СМУ Мас: 00-00-00-00-00- On: Ü Off 0 Sniffing: D и 
一 一 一 一 a ~ — — о — 一 — ЄС z = = 


图 2-64 WinArpAttacker 3. в 


步骤 02: 单 击 Scan (扫描 ) 按钮 ， 即 可 扫描 出 局 域 网 中 所 有 主机 。 如 果 在 WinArpAttacker 主 窗口 中 选择 Scan (#9 
描 ) —Advanced (高 级 ) 菜单 项 ， 即 可 打开 “扫描 ”对 话 框 ， 在 其 中 可 以 看 出 有 3 种 扫描 方式 ， 如 图 2-65 所 示 。 


© SHE 


По 192.168.58.1 255.255. 255.0 
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М ЕЕ Г Беата 


[2-65 “扫描 Чт 
- Scan a host (扫描 主机 ) : 可 以 获得 目标 主机 的 MAC 地 址 。 
· Scan a range (扫描 IP 网 段 ) : 扫 档 某 个 IP 地 址 范围 内 的 主机 。 


- Scan local networks (扫描 本 地 网 络 ) : 扫描 本 地 网 络 。 如 果 本 机 存在 两 个 以 上 IP 地 址 ， 就 会 出 现 两 个 子 网 选项 。 最 下 面 有 两 个 
属性 : 正常 扫描 (Normal Scan) 属性 的 作用 是 扫描 其 是 否 在 线 ， 而 反 监 听 扫 描 (Antisniffscan) 作用 是 把 正在 监听 的 机 器 扫描 出 来 。 


步骤 03: 这 里 以 扫 摘 本 地 网 络 为 例 ， 在 Scan range (3856) 选项 区 域 中 选择 Scan local networks (本 地 网 络 ) 单 选 项 并 勾 
选 相 应 子 网 ， 单 击 Scan (扫描 ) 按钮 进行 扫描 ， 即 可 打开 Scanning successfully (扫描 成 功 ) 信息 框 ， 如 图 2-66 所 示 。 


WinArpAttacker 


图 2-66 ”扫描 成 功 信 息 框 


步骤 04: 曲 击 “确定 ”按钮 ， 即 可 在 WinArpAttacker 主 窗口 中 看 到 扫 摘 结果 ， 如 图 2-67 所 示 区 域 是 主机 列表 区 ， 主 要 显示 局 城 
网 内 机 器 IP、MAC、 主 机 名 、 是 否 在 线 、 是 否 在 监听 、 是 否 处 于 被 攻击 状态 ;左下 方 区 域 主要 显示 检测 事件 ， 在 这 里 显示 检测 到 的 
主机 状态 变化 和 攻击 事件 ;而 右 下 万 区 域 主要 显示 本 地 局 域 网 中 所 有 主机 iP 地 址 和 MAC 地 址 信息 。 
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192.165.1.1 Bac-21-0A-B3-AE-.. Dyn L3 
192.168.1.2 00-28-34-00- 70... бу 
192.168.1.15 90-2B-24-00-/6-.. Супе... 
192.168.1.88 C8.60-00-/8-58-.. Dima... 
192.168.1.103 SB-E3-AB-DF-CS-.. Dyna.. 

| 192.166.1.104  90-28-34-09-76-... 


Tire | Event | ActHost | EffectHast | EffectHostz | Count X 


2014-08-14 10:48:57 Мел Host 137.168.1.15 90-2Б-34-09-76-... 

2014-08-14 10:48:57 Мем Host 192.168.1.109 90-28-54-09-7С-... 
2014-08-14 10:48:58 Мем Host 192.168.1.116 64-A3-CB-D9-FD.... 
2014-08-14 10:42:57 — Mew Host 192.168.1.10 90-2B-34-00-70.... 
2014-08-14 10:40:24 Local Arp Entry Delete 192.168.1.100 68-DF-DD-92-22.. 
2014-08-14 10:49:34 — Local Arp Entry Delete 192.168.1116 00-00-00-00-00-... 


[08/14/14 10:42:52] ——wWnArpAttacker 3.70 Buil 2006.09.04--- 
[u8/14/14 10:47:57] This program в freeware, 30 оп can use and redistribute rt freety. 
[081 414 10:42:54] САгрбепаег Error: Gatew егу Мас is NULL' 


[Ready IP: 192.168.56.1 |Мас: 08-00-27 -00-E8-C |GW: 0.0.0.0 сум Мас 00-00-00-00-00- Dn: 10 Of: 0 Sniffing: 0 д 
62-67 ”扫描 结果 
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步骤 05: 在 进行 攻击 之 前 ,需要 对 攻击 的 各 个 属性 进行 设置 
话 框 ， 如 图 2-68 所 示 。 如 果 本 地 主机 安装 有 多 块 网 卡 ， 则 可 在 “适配器 ” 选 


单 击 工具 栏 上 的 “设置 ”一 “适配器 ”菜单 项 ， 则 打开 Options 对 
先 项 卡 下 选择 绑 定 的 网 卡 和 IP 地 址 。 


步骤 06: 在 “攻击 ” 选 ， 如 图 2-69 所 示 。 除 “连续 iP 冲突 ”是 次 数 外 ， 其 他 都 是 持续 的 时 


间 ， 如 果 是 0 则 表示 不 停止 。 


选项 卡 中 可 设置 网 络 攻击 时 的 各 种 选 


Options а 


适配器 | 攻击 | 更 新 | 检测 | 分 析 | AH 代理 | 保护 | 
PEBE 


cc irtualbox Host-Unly Etherne 


ies VirtualBox Host-Only Ethernet Айа 


08-00-27-00-Е8-СА 


92-68 ”Options 对 话 框 
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V 攻击 信 止 后 ， 自 动 恢 复 AEP 列 表 < 

数据 转发 


№ Асі as a gateway. № Disable system ІСЕР redirect. 


图 2-69 “攻击 ”选项 卡 


步骤 07: 在 “更 新 ”选项 卡 中 可 设置 自动 扫描 的 时 间 间 隔 ， 如 图 2-70 所 示 。 在 “检测 ”选项 卡 中 可 设置 是 否 启动 自动 检测 以 及 检 
测 的 频率 ， 如 图 2-71 所 示 。 
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ix 


Options — 


适配器 | 攻击 | 更 新 ШШ | 分 析 | AP 代理 | 悍 护 
reu m 

м 软件 运行 就 开始 检测 。 
当 数 据 电 个 数 每 种 过 到 | 掉 定 数值 时 才 开 始 扫 揽 。 


1ü = Packets/ = 


1:188, 把 许多 相同 的 事件 认为 是 一 个 事件 。 


209 = $^ 01-1800) 


271 “检测 ”选项 卡 


步 又 08: 在 “分 析 ” 选 项 卡 中 可 设置 保存 ARP 数 据 包 文件 的 名 称 与 路 径 ， 如 图 2-72 所 示 。 在 “ARP 人 代理” 选项 卡 中 可 局 用 代理 
ARP 功 能 ， 如 图 2-73 所 示 。 


Options 


适配器 | 攻击 “| 更 新 | 检测 ОҒ Акра | | 
т 
М ръзЕнарт +, ВЕТ ° 


жі [erppeckets.bin | 
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Options — 


适配器 | 攻击 “| 更 新 | 检测 | 分析 ”MP 代理 | 保护 
AHF 代 理 


м 启用 代理 功能 | 
iE КАЕРИ ЯСЕН ЕЛИ ЛЕ ЕЕЕ, > [ele АГРНУМАС ° 


T АЕР КРА, | r ШЕНЖАСИН 
TE ARPIROK ВАН ЗЕЕ e 本 机 
目 : A mcs 
C 网 天 
C 所 有 主机 С 定制 
(不 在 列表 中 的 主机 


U9-00-217-00-E9-LA 


® 局 域 网 外 的 主机 00-11-22-33-44-55 


фи: zi н ОН, 


scel ris 


ТЕН |^ 


áo | 


Ено 


图 2-73 “АКРА” Аж 
步骤 09: 在 “保护 ”选项 卡 中 可 以 启用 本 地 和 远程 防 欺 骗 保 护 功能 ， 以 避免 受到 ARP 欺 骗 攻 击 ， 如 图 2-74 所 示 。 


229810: 在 WinArpAttacker 主 窗口 中 选取 需要 攻击 的 主机 ， 蛙 击 “ 攻 击 ” 按 钮 右 侧 下 拉 按 钮 ， 在 弹出 菜 持 中 选择 攻击 方式 ， 即 
可 进行 攻击 ， 如 图 2-75 所 示 。 这 样 受 到 攻击 的 主机 将 不 能 正常 与 网 络 进行 连接 。 其 中 ArpSQ 是 该 机 器 的 友 送 ARP 请 求 包 的 个 数 ; 
ArpSP 是 该 机 器 的 友 送 回应 包 个 数 ;，ArpRQ 是 该 机 器 接收 的 请 求 包 个 数 ; ArpRP 是 该 机 器 接收 的 回应 包 个 数 。 


步骤 11: 如 果 使 用 串 探 攻击 ， 则 可 单 击 “ 检 测 ” 按 钮 开始 嗅 探 。 如 果 对 ARP 包 的 结构 比较 熟悉 ， 了 解 ARP 攻 击 原 理 ， 则 可 目 己 动 
手 制作 攻击 包 ， 单 击 “ 友 送 ” 按 钮 进行 攻击 。 


Options 
таи mes | 检测 | 分析 | Арена 保护 | 


dms m 
м EIP РАЯ е 
чъменте Ее, ВЕДЕ НИЗА Е 


БАУЛИ ТАЕР ШІРЕНЕ» РЕЈ ЕДД L ° 


Г 远程 防护 ， 保 护 其 它 主机 。 


HP ZA Таны 因为 攻击 另外 两 全 主机 的 时 假 ，ABP 包 是 趟 


有 人 对 局 域 癌 内 的 机 姨 进 行 AEF 目 听 攻 击 时 ， 它 可 以 自动 阻止 。 


图 2-74 “保护 ”选项 卡 


WB Untitled - WinArpAttacker 3.70 Build 2006.09.04 lei | 
и нт 攻击 ен ФЕ BD = 


пе E ші B - йс 29-5 Eu зи jem Е шы е) е) 


ІР Address Мас Лас Address Ес: [шег | line | | Sniffing ` а | ањѕо | Агр5р. | „Агре... Кесу | Trafic) | Sent | Traffic) | = 
[1192.168.1.2 90-28-34-09-7 ау. р те Normal | Normal о LO dé p 00 0 0.0 
口 192.168.1.10 90-28-34097 ыру lie Normal Normal n 52 00 0.0 
[1152.168.1.15 50-28-24-09-7 ше Normal Normal 39 0.0 0.0 
[]192.168.1.88 C8-60-00-78-5 监听 网 关 通 讯 nline Normal Normal 38 00 0.0 
[]192.168.1.100  68-DF-DD-92-; 监听 主机 和 通讯 Ine Mormal Normal 37 00 0.0 
П192.168.1.104 90-28-34-09-7 此 也 网 阁 通 六 | Ine Normal Normal 37 00 0.0 
[11692.168.1.107 FR-Q0-0C4-41-2 im Е | lne Normal Normal за nan 0.0 
Г] 152.168.1.109 50-2Н-34-08-?С-.. 192.168.1.109 Online Normal Normal 38 0,0 0.0 
[]192.168.1.116 — 64-АЗ-СВ-09-Ю-... 192.168.1116 Online Normal Normal 37 00 0.0 
|" |192.168.56.1 08-00-27-00-Е8-..  4EBODITIETPGKV.. Online Normal Normal 


=i Сз Ыы ым ыз Ыы ы ы сы 
T Q ш шо саз ш с ш 
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Time —— _ ]Ewent -— | AcHost —  ][|EffectHost — | EffectHost2 Count] ~] | Мас Em 
2014-08- 14 10: 48; 58. Mew Host 1952168.1.116 54-АЗ-СВ-р8-ҒО-.. | 192. 168. L1 8C-21-0A- 89-АЕ-... 
2014-08-14 10:48:57 Мем Host 192.168.1.10 90-28-22-09- /0-... | 192.168.1.2 90-2Б-34-09-Л0.-... 

| 2014-08-14 10:40:34 Local Arp Entry Delete 192168.1.100 58-0Е-00-95-29... | _ |192.168.1.15 Q0- 2B -34-090-76-... 
2014-08-14 10:49:34 Local Arp E ntry Delete 192.168.1.116 00-00-00-00-00-... | 42|192. 1. C8-60-DO0-78-58-... 

| 2014-08-14 10:54:34 Мем Host 192.168.1.1 ac -21-0A-88-AFE-... |192.168.1.103 g&8-E3-AB-DF-C&-... 

| 2014-08-14 10:57:50 Мем Host 152.168.1.1 BC-21-0A-88-AE-.. | 192.168.1.104 90-28-34-09-76-.,, 


| 8144 10:42:82] ——VinArpAttacker 3.70 Build 2008.09.04—— 
[08/14/14 10:42:52] This program is freeveare, so you can use and redisiribute it freely. 
Banana 10:42:54] Córpsender Eror: Gatew aylhac is NULL ! 


ТР: 192.155.30.1 мас. OB8-OU-27-DO-E&-C (GW: 0.0.0.0 сум Mac 00-00-00-00-00- Оп: із О Q Sniffing: O „2 


92-75 ”选择 攻击 方式 


2.3.2 ”影音 伸 探 


过 网 络 来 收看 电影 、 电 视 等 节目 ， 有 些 网 站 可 能 由 于 网 络 服 务 器 速度 较 慢 或 同一 时 间 收 看 的 人 数 较 多 ， 会 出 现 每 隔 几 分 钟 停顿 
一 次 的 情况 ， 即 使 如 大 缓 仔 后 还 是 不 理想 。 此 时 残 可 以 将 电影 元 下 载 到 本 地 硬盘 再 收看 ， 而 使 用 “影音 神探 ” 融 能 很 容易 地 找到 这 
电影 的 下 载 地 址 。 


影音 神探 工具 使 用 WinPcap23 开 发 包 ， 了 嗅 探 流 过 网 卡 的 数据 并 智能 分 析 ， 可 监视 20 余 种 网 络 文件 ， 可 通过 自 定义 类 型 扩充 嗅 探 
功能 ;对 于 已 经 找到 的 文件 ， 可 以 局 动 事先 设置 好 的 下 载 工 具 下 载 ， 其 弹出 广告 屏 流 模块 可 让 用 户 上 网 不 骨 受 弹出 广告 之 扰 。 该 工具 
具有 操作 简单 万 便 、 功 能 强大 等 特点 。 设 置 和 使 用 影音 神探 的 具体 操作 步骤 如 下 。 


步骤 01: 待 安装 WinPcap 成 功 后 ， 局 动 影音 神探 将 会 看 天 “程序 将 会 测试 所 有 网络 适配器 ”提示 框 ， 如 图 2-76 所 示 。 


Information 


AJ BERATER” нон РЕАЛА ГаАс ЕРЕЦ а tE H E АРН РА ТЕ Агевв # 


4276 “程序 将 会 测试 所 有 网 络 适 配器 ”提示 框 


步骤 02: 蛙 击 OK 按钮 ， 即 可 打开 “设置 ”对 话 框 ， 在 其 中 开始 查看 网 络 适配器 是 人 否 可 用 ， 如 图 2-77 所 示 。 


,常规 设置 | Расай ОЕА 

ЕЕ #7 #0 | 状 意 m 
[ ] &dapter for generic dialup and... ШемісеірЕ Се... ТЕА, 
Г] Attansic L2 F ast Elhiernet cont... DeviceWPF 16... 


БЕ: Бадо соп 


4277 “设置 ”对 话 框 
步骤 03: 如 果 计 算 机 的 网 络 适 配器 符合 测试 要 求 ， 则 会 看 到 “当前 网 络 适 配器 可 用 ， 是 否 它 作为 缺 省 适配器 ”提示 信息 ， 如 图 2- 


78 所 让 。 


Information 


1) 当前 网 络 适配器 可 用 ， 是 否 它 作为 缺 省 适配器 4 
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步骤 04: ВОКЕА] "уа" ХАЛЕ, Вега ла “БІН” NAERON AR, УПЕ2- 79р. 


те а 

СЕНШЕ | 同 络 适 配器 | гін | 

| 网络 适 本 名称 Eo Ææ | 

| Г] Adapter for generic dialup and... Шечсе РР се... 小 可 用 
Attansic L2 Fast Ethernet Cont... Шеусе Ре i5.. ПІН 


Wim rum: —baidu.com WARTA ЕЛЕНЕ Boss 


ПН 


92-79 ”选中 可 用 的 网 络 适配器 
步骤 05: 单 击 “ 确 定 ” 按 钮 ， 即 可 完成 对 网 络 适配器 的 设置 ， 并 打开 “网 络 嗅 探 器 (影音 神探 ) ” 主 窗口 ， 如 图 2-80 所 示 。 


步骤 06: 选择 “ 嗅 探 ”一 “开始 嗅 探 ” 菜 单项 ， 或 单 击 工 具 栏 的 “开始 噢 探 ” 按 钮 = ， 即 可 进行 嗅 探 ， 并 将 嗅 探 到 的 信息 显示 在 
下 面 的 列表 中 ， 如 图 2-81 所 示 。 


步 又 07: 在 “文件 类 型 ”列表 中 选中 要 下 载 的 文件 ， 选 择 “ 列 表 ” 一 “使 用 网 际 快车 下 载 ” 菜 单项 ， 即 可 打开 “新 建 任务 ”对 话 
框 ， 如 图 2-82 所 示 。 


步骤 08: 在 其 中 设置 保 仓 路 径 、 文 件 名 等 属性 之 后 ， 单 击 “ 确 定 ”按钮 返回 到 “迷你 快车 ”对 语 框 中 即 可 开始 进行 下 载 。 待 下 载 
完成 后 即 可 在 文件 名 后 面 看 到 有 个 对 义 ， 如 图 2-83 所 示 。 此 下 载 过 程 和 使 用 迅雷 进行 下 载 的 过 程 相似 。 


步骤 09: 在 “网 络 噢 探 器 (影音 神探 ) ” 主 窗口 中 选择 “设置 ”一 “综合 设置 ”菜单 项 ， 即 可 打开 “设置 ”对 话 框 。 在 “常规 设 
置 ”选项 卡 下 中 你 选 相 应 复 选 框 ， 还 可 以 目 定 义 网 际 快车 的 位 置 ， 如 图 2-84 所 示 。 


步骤 10: 在 “文件 类 型 ”选项 卡 中 可 以 设置 要 下 载 文件 的 类 型 ， 在 这 里 勾 选 所 有 复 选 框 ， 如 图 2-85 所 示 。 在 “网 络 噢 探 器 (影音 
ЖЖ) ” 主 窗 口中 选择 “ 咱 探 ”一 “过 渡 设置 ”有 菜 蛙 项 即 可 打开 “数据 包 过 渡 设 置 ”对 话 框 ， 在 其 中 指定 网 站 数据 包 进行 过 滤 ， 如 图 
2-86 所 示 。 


步骤 11: “网 络 嗅 探 器 ”工具 有 “获取 URL” 和 “列举 数据 包 ” 两 种 模式 ， 其 默认 模式 是 “获取 URL” 模 式 。 在 “网 络 唱 探 
器 ” 主 窗口 中 选择 “ 串 探 ”一 “工作 模式 ”一 “列举 数据 包 ” 有 菜单 项 ， 即 可 将 其 模式 设置 为 “列举 数据 包 ” 模 式 ， 如 图 2-87 所 示 。 
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图 2-82 “新 建 任务 ”对 话 框 
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图 2-83 “迷你 快车 ”对 话 框 
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图 2-85 “文件 类 型 ”选项 卡 
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步骤 12: 在 影音 神探 中 可 以 
神探 ) ” 主 窗口 中 选择 “列表 ”一 
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62-7 ”设置 为 “列举 数据 包 


“添加 备注 菜单 项 ， 即 可 打开 “编辑 备注 ” 对 话 框 ， 如 图 2-88 所 示 。 
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4288 “编辑 备注 ”对 话 框 


步骤 13: 在 文本 框 中 输入 备注 名 称 ， 单 击 OK 按钮 ， 即 可 人 在 “网 络 噢 探 器 (影音 神探 ) ” 主 窗 口 “备注 ”栏目 看 到 添加 的 备注 ， 
如 图 2-89 所 示 。 


步骤 14: 如 果 想 分 类 显示 嗅 探 出 的 数据 包 ， 则 在 “网 络 串 探 器 (影音 神探 ) ” 主 窗口 中 的 “数据 包 ” 列 表 中 右 击 ， 在 弹出 菜单 中 
择 “ 分 类 查看 ”一 “图 片 文件 ”菜单 项 ， 即 可 只 显示 图 片 形式 的 数据 包 ， 如 图 2-90 所 示 。 


еш 


278815: 如 果 想 查看 文本 文件 的 数据 包 ， 则 在 弹出 菜单 中 选择 “分 类 查看 ”一 “文本 文件 ”菜单 项 ， 即 可 只 显示 文本 文件 形式 的 
数据 包 ， 如 图 2-91 所 示 。 选 择 “ 分 类 查看 ”一 “未 定义 ”菜单 项 ， 即 可 显示 出 所 有 未 定义 的 数据 包 ， 如 图 2-92 所 示 。 


步骤 16: 如 果 要 得 看 某 个 数据 包 的 信息 ， 则 在 “网 络 噢 探 器 (影音 神探 ” 主 窗口 中 的 “数据 包 ” 列 表 中 选中 该 数据 包 后 右 击 ， 
在 弹出 荣 单 中 选择 “ 香 看 数据 包 ” 选 项 ， 即 可 打开 “数据 包 相关 信息 ”信息 框 ， 在 其 中 可 看 到 选中 数据 包 的 详细 信息 ， 如 图 2-93 所 


不 。 


步骤 17: Е Мае СОЕ) ” 主 窗口 中 选择 “列表 ”一 “保存 列表 ”有 菜 蛙 项 ， 即 可 打开 Save Не (保存 文件 ) 对 话 
框 ， 在 其 中 选择 相应 的 保存 位 置 ， 如 图 2-94 所 示 。 
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图 2-91 只 显示 文本 文件 形式 的 数据 包 
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图 2-92 ”显示 所 有 未 定义 的 数据 包 
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图 2-94 Save file 对 话 框 


步骤 18: 蛙 击 Save 按 钮 ， 即 可 看 到 “选择 文件 保存 万 式 ”提示 框 ， 如 图 2-95 所 示 。 单 击 Yes 按 钮 ， 即 可 保存 全 部 的 地 址 。 符 保存 
完成 后 可 看 到 “保存 完毕 ”提示 框 ， 如 图 2-96 所 示 。 
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МЕНЕ МЕЖ, : 
保 行 所 有 地 址 


Em o 只 保存 选中 的 地 址 


图 2-95 “选择 文件 保存 方式 ”提示 框 


Information 


保存 完毕 


4296 “保存 完毕 ”提示 框 


2.33 УВЕРИ 


艾 菲 网 页 侦探 是 一 个 HTTP 协 议 的 网 络 嗅 探 器 、 协 议 捕 捉 器 和 HTTP 文 件 重建 工具 ， 可 以 捕捉 局 域 网 内 的 含有 HTTP 协 议 的 I|P 数 据 
包 ， 并 对 其 进行 分 析 ， 找 出 符合 过 滤器 的 那些 HTTP 通 信和 内 容 。 可 以 看 到 网 络 中 其 他 人 都 在 浏 虹 哪些 HTTP 协 议 的 IP 数 据 包 ， 并 对 其 进 
行 分 析 ， 找 出 符合 过 滤器 的 哪些 HTTP 通 信和 内 容 。 可 以 看 到 网 络 中 的 其 他 人 都 在 浏 宽 哪些 网 员 ， 这 些 网 页 的 内 容 是 什么 。 特 别 适 合 
于 企业 主管 对 公司 员工 的 上 网 情况 进行 监控 。 


使 用 艾 非 网 页 侦探 对 网 页 内 容 进行 捕获 的 具体 操作 步骤 如 下 。 


步骤 01: 下 载 并 运行 “六 菲 网 页 侦探 ”， 在 “ 艾 非 网 页 侦探 ” 主 界面 单 击 Sniffer 探 测 器 一 Filter 菜 单项 ， 如 图 2-97 所 示 。 可 看 到 
Sniffer Filter 对 话 框 ， 在 其 中 可 设置 组 ;中 区 的 大 小 、 局 动 选项 、 探 测 文 件 目标 、 探 测 的 计算 机 对 象 等 属性 ， 如 图 2-98 所 示 。 
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图 2-98 Sniffer Filtet 对 话 框 


步 又 02: 单 击 OK 按钮 返回 主 界面 ， 单 击 工具 栏 上 的 开始 按钮 此 ， 可 捕获 目标 计算 机 浏览 网 页 的 信息 ， 在 主 界面 即 可 码 看 到 捕获 
的 信息 ， 如 图 2-99 所 示 。 


步骤 03: 选中 需要 查看 的 捕获 记录 ， 选 择 Sniffer 一 Uiew details 菜 单项 ， 如 图 2-100 所 示 。 在 打开 的 HTTP Communications 


Detail 对 话 框 中 可 查看 其 HTTP 请 求 命令 和 应 答 信 息 ， 如 图 2-101 所 示 。 切 换 至 Content 选 项 卡 ， 可 在 界面 中 看 到 所 选 计算 机 浏 哎 过 的 
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62-100 “探测 器 ”> “查看 详情 命令 ”菜单 项 


HTTP Communications Detail -= | 


Detail | Contant | Test Vi ew | Расов | Commands | 


General Infornation 


Но > TimeStanp: Feb zB, Whether finished: Гея 


Client -> E£erver: 


132 168. 1.10.1225 -7 111. 208. 34. 186: BN 


Facketz List 


Req 5 10:18:08. 38... TUUS 216372070 490 - 0 
B 10:18:08. 5D... ЖІБЗТРІТІ) ӘЗЕІТПТЕРЕ 342 І 
T 10:18:08. 50... ЖІБЗТРЯІР 2451 ТОТЕРЯ П 1440 
в 10:18:08.50...  2163T38E2 27451707629 0 1440 
q 10:18:08. 50...  z1b53T52c z451TÜTB23 0 1205 
10 10:18:08. 50...  Zz153TT33T 2401 Т0Т6е9 0 20 
11 10:18:08. 50... ХІ1БЗТЕЯСІ z2451TüTB29 0 144] 
12 10:18:08.50... 9216379397 e451TÜT522 0 20 
1 10:19. 00. 30... ТТТ 2451ТОТВ29 0 1442 
14 10:19:00. 30. . иа Дата На На z451TÜTE3 0 E 
15 10:18:08. 30. . 21822273417 z451TÜTBE3 0 1442 
16 10:18: 06. 50. . 21856388317 2451707629 Y P 
17 10:18:08 50. . 21638087T 2451 ТОТЕРО ü 1441 
18 10:18:08. 50. . 21B3837T7T z2451TÜTB23 0 20 
19 10:18:08. 5D. . 216382327 2451 TÜüT5293 І 1441 
en 10:18: ба. 50 210383797 2451ТОТВ2Э9 0 1440 
21 10:18:08. 50... 216385237 әЯБІТПТЕ2Е 0 20 
а 10:18:08. 5D. . 216306697 ӘЗЕІТПТЕРЕ 0 20 
23 10:18:06. 50. 21638525T ӘЗЕІТПТЕРЕ 0 1440 
z 10:18. 08. 50. 218388157 2451 ТОТВЕЗ ü ЕП 
DE 10:18:08. 50... | Z1563885T1T 2451707620 0 1440 
zE 10:18:08. 50.. 21638961T 2451 TüT5253 І 295 
2T 10:18:08. 50.. 2163861 ТТ 2451 Т0Т6е9 І 1441 

ABE gu ra | 
图 2-101 НТТР Communications Detail 对 话 框 


步骤 04: 若 需 要 保存 捕获 到 的 文件 信息 ， 在 主 界面 中 选中 需要 保存 的 记录 条 ， 单 击 保存 来 自选 定 链接 的 文件 按钮 个 ， 可 将 所 选 记 


录 保 存 到 磁盘 中 ， 如 图 2-102 所 示 可 通过 “记事 本 ”程序 ， 打 开 该 文件 浏览 其 中 的 详细 信息 。 


在 使 用 多 


非 网 页 侦探 捕获 下 载 地 址 时 ， 不 仅 可 以 捕获 到 其 引用 页 地 址 ， 还 可 以 捕获 到 其 真实 的 下 载 地 址 。 
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图 2-102 保存 捕获 到 的 文件 信息 


2.3.4 SpyNet Ѕпі егі ЖЕЗ 

网 络 监听 工具 SpyNet Sniffer 可 以 捕获 到 Telnet、POP、QQ、HTTP、login 等 数据 ， 可 以 了 解 到 与 自己 计算 机 连接 的 用 户 以 及 
其 正在 进行 的 操作 。 如 果 有 黑客 攻击 自己 的 计算 机 ，SpyNet Sniffer 也 可 以 将 其 足 迹 记录 下 来 。 

(1) SpyNet Snifferit Æ 


在 使 用 SpyNet Sniffer 工 具 进行 嗅 探 之 前 ， 需 要 对 其 进行 配置 ， 例 如 选择 适配器 、 当 缓冲 满 时 应 采取 的 措施 等 。 配 置 SpyNet 
Sniffer 的 操作 步骤 如 下 。 


步骤 01: 下 载 并 安装 SpyNet Sniffer 软 件 之 后 ， 选 择 “ 开 始 ” 一 “程序 ”一 SpyNet 一 CaptureNet 荣 单项 ， 即 可 打开 
Settings (设置 ) 对 话 框 ， 在 其 中 选择 监听 网 络 适 配器 ， 如 图 2-103 所 示 。 
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图 2-103 ” Settings 对 话 框 


步骤 02: 在 Action (措施 ) 选项 卡 中 可 设置 当 缓 冲 满 时 应 采取 的 措施 ， 以 及 记录 文件 保存 的 路 径 等 属性 ， 如 图 2-104 所 示 。 在 
Miscellaneous (杂项 ) 选项 卡 中 可 设置 缓冲 区 的 大 小 ， 如 图 2-105 所 示 。 
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步骤 03: 单 击 “确定 ”按钮 ， 即 可 打开 SpyNet Sniffer 主 窗口 ， 如 图 2-106 所 示 。 
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42-106  SpyNet Sniffe 主 界面 
(2) SpyNet Sniffer 的 使 用 


在 设置 完 SpyNet Sniffer 之 后 ， 丈 可 以 使 用 该 工具 来 捕获 网 页 中 的 数据 。 下 面 以 打开 一 个 音乐 网 站 为 例 讲述 使 用 该 软件 捕获 网 页 
中 的 数据 。 具 体 的 操作 步 又 如 下 。 


步骤 01: 在 IE 浏览 器 中 打开 一 个 音乐 网 站 的 网 页 ， 在 SpyNet Sniffer 的 主 窗口 中 单 击 Start Capture (开始 捕获 ) 按钮 ， 即 可 开始 
捕获 该 网 页 的 信息 ， 同 时 把 捕获 的 数据 显示 在 右 侧 的 列表 框 中 ， 如 图 2-107 所 示 。 单 击 Stop capture 按 钮 ， 即 可 停止 捕获 。 


步骤 02: 单 击 工 具 栏 中 的 Save (保存 ) 按钮 ， 即 可 打开 “另存 为 ”对 话 框 ,如 图 2-108 所 示 。 


在 进行 噢 探 之 前 ， 应 关闭 其 他 多 余 的 网 页 ， 因 为 SpyNet Sniffer 在 嗅 探 时 会 有 大 量 的 数据 报信 息 ， 为 了 方便 查找 数据 最 好 只 打开 所 
需 的 网 页 。 


步骤 03: 在 设置 完 保存 位 置 和 名 称 后 ， 单 击 “ 保 存 ” 按 钮 ， 即 可 打开 What do you want (你 想 做 什么 ) 提示 框 ， 在 其 中 选择 
Packets display (显示 数据 包 ) 单 选 项 ， 如 图 2-109 所 示 。 单 击 OK 按 钮 ， 即 可 完成 保存 操作 。 


步骤 04: 单 击 工具 栏 中 的 PeepNet 按 钮 守 “” ， 即 可 打开 PeepNet 窗 口 ， 如 图 2-110 所 示 。 选 择 File (文件 ) 一 Open (打开 ) 
菜单 项 ， 即 可 打开 “打开 ”对 话 框 ， 在 其 中 选择 刚才 保存 的 CAP 文 件 ， 如 图 2-111 所 示 。 
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图 2-107 ”捕获 到 的 数据 
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图 2-108 “另存 为 ”对 话 框 
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图 2-109 What do you want 提 示 框 
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图 2-111 “打开 ”对 话 框 


步骤 05: 蛙 击 “打开 ”按钮 ， 即 可 在 PeepNet 窗 口 的 左 侧 列表 中 显示 捕获 的 数据 。 蛙 击 需 要 查看 的 信息 条 ， 人 在 右 侧 窗 口中 可 看 到 
打开 的 网 页 内 容 ， 如 图 2-112 所 示 。 
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图 2-112 ”查看 捕获 到 的 音乐 网 站 的 信息 


步骤 06: 使 用 记事 本 程序 打开 前 面 保存 的 CAP 文 件 ， 在 “查找 ”对 话 框 “查找 内 容 ” 文 本 框 中 输入 要 查找 的 网 址 ， 单 击 “ 查 找 下 
一 个 ”按钮 ， 即 可 查找 到 需要 的 网 络 地 址 ， 如 图 2-113 所 示 。 在 IE 浏览 器 的 地 址 栏 中 输入 刚 找到 的 网 页 ， 按 回 车 键 ， 即 可 打开 该 网 
页 ， 如 图 2-114 所 示 。 
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92-113 ”查找 需要 的 网 址 
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图 2-114 ”打开 该 网 址 


24 Real Spy Monitor 监 控 网 络 


Real Spy Monitor 是 一 款 监测 互联 网 和 个 人 计算 机 、 以 保障 其 安全 的 软件 ， 可 以 监控 键盘 融 击 、 网 页 站 点 、 视 窗 开关 、 程 序 执 
、 屏 幕 扫 描 以 及 文件 的 输出 输入 等 内 容 。 不 仪 可 以 记录 网 页 的 浏览 ， 还 可 以 记录 AOL、1ICQ、MSN、AIM、Yahoo Messenger 等 
实时 通信 的 软件 ， 在 网 页 上 使 用 邮件 系统 的 Web Mail 内 容 ， 包 含 MSN 和 Hotmail 等 ， 均 可 详细 记录 所 有 资料 。 


2.4.1 设置 Real Spy Monitor 


在 使 用 Real Spy Monitor 软 件 对 系统 进行 监控 之 前 ， 要 进行 一 些 设置 ， 例 如 设置 密码 和 热 键 等 。 具 体 的 操作 步骤 如 下 。 


步骤 01: а Real Spy Monitor 之 后 ， 汉 击 梨 面 上 的 Real Spy Monitor 应 用 程序 图 标 ， 即 可 弹出 打开 Real Spy Monitor 注 
册 窗 口 ， 如 图 2-115 所 示 。 


步骤 02: 在 阅读 相应 的 注册 信息 后 ， 单 击 Continue (继续 ) 按钮 ， 即 可 打开 SetPassWord (设置 密码 ) 窗口 ， 如 图 2-116 所 
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图 2-115 Real Spy Monitor; Ж @ П 
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62-116 设置 密码 对 话 框 


步骤 03: 由 于 是 第 一 次 使 用 ， 所 以 没有 | 旧 密 码 ， 只 需 在 New Password (新 密码 ) 和 Confirm (ЖАД) 文本 框 中 输入 相同 密码 ， 
单 击 OK 按 钮 ， 即 可 打开 Real Spy Monitor 主 窗口 ， 如 图 2-117 所 示 。 


注意 
在 SetPassWord 窗 口中 设置 的 新 宅 码 ， 将 会 在 Real Spy Monitor 的 使 用 中 处 处 要 用 ， 所 以 千 万 不 能 忘记 密码 。 


步骤 04: 在 Real Spy Monitor 主 窗口 中 单 击 Hotkey Choice (选择 执 键 ) 按钮 ， 即 可 打开 Configuration (配置 ) 对 话 框 ， 如 图 
2-118 所 示 。 在 Select your hotkey patten (选择 热 键 样式 ) 下 拉 列 表 中 ， 可 以 选择 所 需 的 热 键 (也 可 以 目 定 义 ) . ОК, 
即 可 完成 设置 。 


之 所 以 需要 设置 热 键 ， 是 因为 Real Spy Monitot 在 监控 时 会 彻底 地 隐藏 自己 ， 此 时 在 “任务 管理 器 ”窗口 中 也 看 不 到 该 程序 的 运 
行 。 要 使 用 设置 的 热 键 才 可 将 运行 时 的 Real Spy Monitot 调 出 ， 否 则 即使 单 击 “开始 ”菜单 中 的 Real Spy Monitor 菜 单项 也 不 会 将 其 调 
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图 2-118 ”配置 对 话 框 


24.2 ”使 用 Real Spy Monitor 监 控 网 络 


在 设置 完 密码 和 热 键 之 后 ， 就 可 以 使 用 Real Spy Monitor 软 件 对 系统 化 进行 监控 。 下 面 讲 述 Real Spy Monitor 监 控 一 些 最 常 使 
用 的 程序 。 具 体 的 操作 步骤 如 下 。 


步骤 01: 在 Real Spy Monitor 主 窗口 中 单 击 开 始 监控 按钮 m ， 即 可 打开 输入 密码 对 话 框 ， 在 其 中 输入 设置 的 密码 ， 如 图 2- 
119 所 示 。 只 有 输入 正确 密码 ， 才 可 让 Real Spy Monitor 对 系统 进行 监控 。 


步骤 02: 单 击 OK 按钮 ， 即 可 打开 注意 提示 框 ， 认 真 阅 读 其 中 的 注意 信息 ， 如 图 2-120 所 示 。 单 击 OK 按 钮 ， 即 可 进行 监控 。 
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| Моде Notice: 
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stealth mode.To bring Real Spy Monitor 
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[ Do not show me this message again. 


步骤 03: 在 IE 浏览 器 中 浏览 一 些 网 站 后 ， 按 设置 的 Ctrl+Alt+R 组 合 键 ， 在 输入 密码 文本 框 中 输入 设置 的 密码 ， 即 可 打开 Real Spy 


Monitor 主 窗口 。 可 发 现 窗口 中 的 Websites Visited 项 下 已 经 有 了 计数 ， 如 图 2-121 所 示 。 


步骤 04: 单 击 Websites Visited 图 标 ， 即 可 弹出 Report (报告 ) 窗口 ， 可 在 其 中 看 到 用 户 使 用 IE 浏 网 器 打开 的 网 页， 如 图 2-122 
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图 2-122 ”用户 打开 的 网 页 


步骤 05: 对 键盘 输入 的 内 容 进 1 
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5 监控 通常 是 木马 做 的 事 ， 但 Real Spy Monitor 为 了 让 自身 的 监控 功能 变 得 更 加 强大 也 提供 了 此 


。 人 和 企 “报告 ”对 话 框 中 勾 选 Keystrokes Typed 复 选 枉 ， 即 可 看 到 相应 的 键盘 输入 记录 ， 如 图 2-123 所 示 。 
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图 2-123 ”显示 键盘 输入 记录 


如 果 想 要 深入 查看 相应 网 页 中 是 什么 内 容 ， 只 需 双 击 列表 中 的 网 址 ， 即 可 自动 打开 IE 浏 览 器 访问 相应 的 网 页 。 


步骤 06: 双击 其 中 任意 一 条 记录 ， 则 可 打开 一 个 记事 本 文件 ， 通 过 该 文件 可 看 出 Administrator 用 户 在 某 时 刻 输入 的 信息 ， 如 图 
2-124 7х. 


223507: 如 果 想 知道 用 户 都 在 计算 机 中 运行 哪些 程序 ， 只 需 在 Real Spy Monitor 主 窗口 中 单 击 Programs Executed 项 的 图 标 ， 
在 弹出 的 Report (报告 ) 窗口 中 即 可 看 到 运行 的 程序 名 和 路 径 ， 如 图 2-125 所 示 。 


22808: 可 以 通过 Real Spy Monitor 的 即时 截图 监控 功能 (默认 为 1 分 钟 截 一 次 图 ) 查 知 用 户 的 操作 历史 。 在 “报告 ”窗口 中 勾 
选 Snapshots 复 选 框 ， 即 可 查看 所 有 的 截图 记录 ， 如 图 2-126 所 示 。 
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图 2-124 查看 输入 信息 文件 
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Select item amd presa "Execute" to start program. CIT set Listbox font Color set Textbox font Color 


图 2-125 Верой v 


步骤 09: 双击 其 中 的 任意 一 项 截图 记录 ， 即 可 打开 Windows 图 片 和 传真 查看 器 ， 在 其 中 查看 所 截取 的 图 。 如 图 2-127 所 示 。 
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Double Click item to View Snapshots Ф Set Listhox font Color Set Lexrbux font Color 


图 2-126 ”查看 截图 记录 
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图 2-127 查看 所 截取 的 图 
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210: Real Spy Monitor 软 件 还 可 以 监控 AOL、ICQ、MSN、AIM、Yahoo Messenger 等 实时 通信 的 软件 。 在 Real Spy 


Monitor 主 窗口 中 单 击 MSN Mun cie 即 可 打开 Messenger Report (信息 报告 ) 对 话 框 ， 在 其 中 对 MSN.、 


于 监视 


及 Yahoo 等 即时 通信 软件 进 


不 难看 出 ，Real Spy Monitor 的 功能 是 极其 强大 的 。 使 用 该 软件 可 以 对 系统 进 
中 是 否 有 黑客 的 入 侵 市 来 极 大 方便 。 


第 3 和 草 ” 注 入 工具 


本 章 主 要 介绍 常见 的 注入 攻击 工具 ， 有 助 于 读者 掌握 注入 攻击 的 基本 流程 ， 通 
法 和 手段 ， 从 而 找到 有 效 防范 注入 攻击 的 方法 。 


Ан: 

- SQL 注入 攻击 前 的 准备 
- 啊 D 注 入 工具 

- NBSI 注 入 工具 

: Domain 注 入 工具 


“PHP) 主 入 工具 ZBS| 


ICQ. ACL/AIM 


这 样 在 一 定 程度 上 ， 将 会 给 网 管 监控 系统 


监控 ， 


过 对 注入 攻击 的 深层 实战 剖析 ， 体 会 这 种 攻击 的 方 


SQL 注 入 攻击 的 防范 


31 SQL 注入 攻击 前 的 准备 


注入 攻击 是 攻击 者 通过 Web 把 恶意 的 代码 传播 到 其 他 的 系统 上 ， 这 些 攻击 包括 系统 调用 (通过 shell 命 令 调用 外 部 程序 ) 和 后 台 
数据 库 调 用 (通过 SQL 注入 ) 等 。 当 一 个 Web 应 用 程序 通过 HTTP 请 求 把 外 部 请 求 的 信息 传递 给 应 用 后 台 时 ， 必 须 非 常 小 心 。 否 则 注 
入 攻击 残 可 以 将 特殊 字 待 、 恶 意 代 码 或 者 依 令 改变 器 注入 这 举人 信息 中 ， 并 传输 到 后 台 执 行 。 


由 于 SQL 注 入 是 从 正常 的 Web 辛 口 攻击 的 ， 而 且 看 起 来 和 一 般 的 Web 页 面 一 样 ， 所 以 目前 防火 墙 无 法 友 现 SQL 注 入 攻击 。 如 果 网 
站 管理 员 没 有 查看 |S 日 志 的 习惯 , 则 可 能 在 锌 注入 攻击 后 很 长 时 间 都 不 会 友 客 ， 所 以 SQL 注 入 攻击 是 目前 黑客 比较 喜欢 的 攻击 方式 。 


311 设置 “显示 友好 HTTP 请 误 肖 已 ” 

由 于 SQL 注入 攻击 需要 利用 服务 器 返回 出 错 信息 ， 但 在 IE 浏览 器 中 默认 是 不 显示 友好 HTTP 错 误 信息 的 ， 所 以 在 进行 SQL 注入 攻击 
前 需要 设置 属性 。 具 体 的 设置 步骤 如 下 。 

步骤 01: 打开 浏览 器 ， 选 择 “ 工 具 ” 一 “Internet 选 项 ”菜单 项 ， 即 可 打开 “Internet 选 项 ”对 话 框 ， 如 图 3-1 所 示 。 


步骤 02: 选择 “高 级 ”选项 卡 ， 在 “设置 ”列表 中 多 选 “ 显 示 友 好 HTTP 错 误 消息 ” 复 选 框 ， 如 图 3-2 所 示 。 单 击 “ 确 定 ” 按 钮 ， 


即 可 完成 设置 。 
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图 3-1 “Internet 选 项 ”对 话 框 
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在 后 台 加 载 沾 点 和 内 容 以 优化 性 能 | 5 
在 文件 资源 管理 器 和 “运行 ” 对话 框 中 使 用 直接 插入 _ 


[гт] _ Dm rk = . . Ah = 


EE Internet Explorer иш Milan | 
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43-2 ”取消 “显示 友好 HTTP 错 误 消息 ” 


312 ”准备 注入 工具 


在 SQL 注入 过 程 中 ， 一 般 会 利用 一 些 特殊 的 工具 来 提高 入 侵 的 效率 和 成 功率 ， 如 SQL 注入 漏洞 扫 摘 工具 、 注 入 辅助 工具 及 Web 木 
马 后 门 ， 在 进行 注入 攻击 前 需 准备 这 几 种 工具 。 


(1) SQL 注入 漏洞 扫 摘 器 


{н “Ж 


НТА, в -РАЗРУМЕЕНУ ЛЕН МВ ЖЕ” =, i 
‚ ERIRIMySQL 


=, FLrHCASIE 


注入 工具 是 用 来 检测 网 站 漏洞 并 检测 出 一 些 敏 感人 
一 款 针对 ASP 脚 本 网 站 的 扫描 工具 ， 它 可 以 寻找 目标 网 站 存在 的 注入 漏洞 ， 其 主 窗口 如 图 3-3 所 示 
ші = 用 VB 编写 的 PHP 注 入 辅助 工具 


而 用 于 PHP+MYSQL 环 境 的 注入 工具 有 CASI、PHPrf、 
的 load file(0 函 数 来 读 取 文件 ， 其 主 窗口 如 图 3-4 所 示 。 
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图 3-4 CASI 主 窗口 


这 些 工 具 大 部 分 都 采用 SQL 注 入 漏洞 扫 搬 与 攻击 于 一 体 的 综合 利用 工具 ， 可 以 帮助 攻击 迅速 完成 SQL 注 入 点 寻找 与 数据 库 密码 破 
解 、 系 统 攻击 等 过 程 。 


(2) Web 木 马 后 | 


Web 木 马 后 门 是 用 于 注入 成 功 后 ， 安 装 在 网 站 服务 器 上 用 来 控制 一 些 特殊 的 木马 后 门 。 常 见 的 Web 木 马 后 门 有 “ 冰 狐 浪子 
ASP” 木 马 ， 其 客户 端 如 图 3-5 所 示 ; “ 海 阳 顶端 网 ASP 木 马 ” 主 窗口 如 图 3-6 所 示 。 而 PHP 木 马 后 门 工具 有 黑客 之 家 PHP 木 马 、 
PHPSpy 等 ， 主 要 用 于 注入 攻击 后 控制 PHP 环 境 的 网 站 服务 器 。 
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图 3-5” 冰 狐 浪 子 ASP 木 蕊 的 客户 端 


(3) ЕЛЕ 


由 于 某 些 网 站 可 能 会 米 取 防 泡 措 施 ， 所 以 在 进行 SQL 注 入 攻击 时 ， 还 需要 借助 一 些 辅助 的 工具 来 实现 字符 转换 、 格 式 转 换 等 功 
能 。 单 见 的 SQL 注入 辅助 工具 有 “AsSP 木 马 C/S 覃 式 转换 器 ”和 “C2C 注 入 格式 转换 器 ”， 其 主 窗口 分 别 如 图 3-7 和 图 3-8 所 示 。 


ПЕЕ р АБРЖ HEA - Ву Narcos 026696782 
Tu Це Зла 


: ila == [2006 атр uri | 
Ls E 生成 为 : [2006a Lite. asp 生成 | 
г ВЕНРЕНРАНАВН 
= PRSE EUM 


Г Ваг ірі. Съ Ее md. атр 

[ Брет, Арр11сат1 от ЕН АЛЕ Hi Lp zh ктт. Та didi, act 

[ FS03278208 TR TERR. Ht &p тен. haiyangkop па! 

Г Shell. hpplication E [Ej mE Ht tp уыш. haiyang nat/scafaiy/dafaulix. asp 

Г ВАРЕТЕ ВЕЕ г ВЕРЕЯ ПН ЕЛЕЕ 85, Po КЕН, КАП T. ШІН, Td. 
ЕРЮ wangyong, сту, allan lex, Marcos, kEvini ЗОВУ УРА Tn 
Г НЯ РЕНОАР т ар AIL 


3-6 ” 海 阳 顶端 网 ASP 木 马 
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图 3-7 “ASP 木 马 C/S 模 式 转换 器 ”窗口 


[к сос 注入 格式 转换 器 By Kevin1986[Icehack... [Ж 


图 3-8  ” “C2C 注 入 格式 转换 器 ”窗口 


32 啊 D 注 入 工具 


利用 手工 进行 注入 攻击 具有 相当 大 的 难度 ， 而 利用 一 些 注入 工具 进行 注入 攻击 束 简 单 得 多 。 啊 D 注 入 工具 束 是 一 蒜 出 现 相对 较 
早 、 功 能 非 单 强大 的 SQL 注射 工具 ， 利 用 该 工具 可 以 进行 检测 旁 注 、 猜 解 ?QL、 破 解密 码 、 管 理 数 据 库 等 操作 。 


321 啊 D 注 入 工具 的 功能 


啊 D 注 入 工具 是 一 蒜 针对 ASP+SQL 注 入 的 工具 ， 其 界面 和 功能 都 与 NBSI 工 具 类 似 ， 利 用 该 工具 可 以 检测 出 更 多 存在 注入 的 连 
妆 。 啊 D 注 入 工具 使 用 多 线程 技术 ， 大 大 提高 检测 速度 。 它 主要 的 功能 有 了 跨 库 查 询 、 注 入 点 扫 拉 u、 省 理 入 口 检 测 、 目 录 查 看 、CMD 命 
令 、 木 马上 传 、 注 册 表 读 取 、 旁 注 /上 传 、WebShell 管 理 、Cookies 修 改 等 。 可 以 看 出 ,该 工具 是 集 多 种 功能 于 一 身 的 综合 注入 工具 
包 ， 是 目前 黑客 运用 最 广泛 的 一 蒜 注 入 工具 。 


3.2.2 ”使 用 啊 D 批 量 注入 


通过 啊 D 注 入 工具 可 以 检测 出 网 站 是 否 存 在 注入 漏洞 ， 还 可 以 对 存在 注入 漏洞 的 网 页 进行 注入 。 具 体 的 操作 步骤 如 下 。 
步骤 01: 下 载 并 运行 “ 啊 D 注 入 工具 v2.32”， 其 主 窗口 如 图 3-9 所 示 。 


步骤 02: 在 “注入 检测 ”栏目 中 单 击 “扫描 注入 点 ”按钮 中， 即 可 打开 “扫描 注入 点 ”窗口 ， 在 “注入 连接 ”地 址 栏 中 输入 注入 
的 网 站 地 址 ， 单 击 立 按钮 ， 即 可 打开 该 网 站 并 扫 摘 注入 点 个 数 ， 如 图 3-10 所 示 。 
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6310 “扫描 注入 点 ”窗口 


又 03: 若 单 击 “ 注 入 连接 ” 右 侧 的 全 按钮 ， 即 可 对 Cookies 进 行 修改 ， 如 图 3-11 所 示 。 


hu 


步骤 04: 根据 需要 选中 其 中 的 一 个 注入 点 ， 单 击 “ 注 入 检测 ”选项 栏 下 方 的 “SQL 注入 检测 ”按钮 ， 即 可 进入 “3QL 注 入 检 


”页 面 。 单 击 “ 检 测 ” 按 钮 ， 等 待 检测 完成 后 ， 继 续 单 击 “ 检 测 表 段 ”按钮 ， 即 可 检测 出 相应 的 表 段 ， 如 图 3-12 所 示 。 
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图 3-11 对 Cookies 进 行 修 改 
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图 3-12 ”对 数据 表 的 表 段 进行 检测 


步骤 05: 再 任意 选中 其 中 的 一 个 表 段 ， 单 击 右边 的 “检测 字段 ”按钮 ， 即 可 检测 出 访 表 对 应 的 相应 字段 。 根 据 需要 选择 该 表 中 的 
所 有 字段 ， 单 击 “ 检 测 内 容 ” 按 钮 ， 即 可 开始 检测 内 容 ， 如 图 3-13 所 示 。 


步骤 06: 待 内容 检 测 完 毕 后 ， 在 “检测 内 容 ” 下 方 的 列表 框 中 ， 即 可 查看 详细 的 检测 内 容 ， 包 括 用 尸 名 、 密 码 、 编 号 等 ， 如 图 3- 
14 ях. 


步骤 07: 在 “ 啊 D 注 入 工具 v2.32” 主 窗口 中 单 击 “管理 入 口 检 测 ” 按 钮 芒 ， 即 可 打开 “检测 管理 入 口 ” 窗 口 。 在 “网 站 地 址 ” 栏 
目 中 输入 需要 检测 的 管理 入 口 地 址 ， 单 击 “ 检 测 管理 入 口 ”按钮 ， 即 可 在 下 方 询 表 中 显示 该 网 站 的 所 有 登录 入 口 点 ， 如 图 3-15 所 示 。 
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图 3-13 ”对 数据 表 的 字段 进行 检测 
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图 3-15 ”检测 网 址 的 管理 入 口 


步骤 08: 在 “可 用 连接 和 目录 位 置 ” 列 表 右 击 要 打开 的 网 址 ， 在 快捷 菜单 中 选择 “用 IE 打开 连接 ”选项 中 在 1E 浏 并 器 中 打开 该 网 
页 。 这 样 ， 黑 客 束 可 以 用 猜 解 出 来 的 管理 员 账 号 和 密码 尝试 着 进入 该 网 站 后 台 管 理 页 面 。 


要 防御 此 类 注入 只 需要 在 设计 数据 库 时 ， 把 数据 的 表 段 名 、 字 段 名 等 设置 为 陌生 的 名 称 ， 这样 ， 啊 D 等 注入 工具 束 失 效 了 。 


3.3 NBSUIATE 


NBSI 注 入 工具 也 是 黑客 经 单 使 用 的 注入 工具 ， 利 用 该 工具 可 以 对 各 种 注入 漏洞 进行 解码 ， 从 而 提高 猜 解 效率 。NBSsl 被 称 作 网 站 
漏洞 检测 工具 ， 是 一 款 ASP 注 入 漏洞 检测 工具 ， 在 SQL server 注入 检测 方面 有 极 遍 的 准确 率 。 


331 “NBSI 功 能 概述 


NBSI (网 站 安全 漏洞 检测 工具 ， 又 叫 SQL 注 入 分 析 器 ) 是 一 套 高 集成 性 Web 安 全 检测 系统 ， 是 由 NB 联盟 编写 的 一 个 非常 强 的 
SQL 注 入 工具 。 经 长 时 间 的 更 新 优化 ， 在 ASP 程 序 漏洞 分 析 万 面 已 经 远 远 超越 于 同类 产品 。NBSI 分 为 个 人 版 和 商业 版 两 种 ， 个 人 版 只 
能 检测 出 一 般 网 站 的 漏洞 ， 而 商业 版 则 没有 完全 限制 ， 且 其 分 析 沁 围 和 ' 付 确 率 都 所 有 提升 。 


利用 网 站 程序 漏 ; 间 结 合 注 入 利器 NBSI 可 以 获取 会 员 账 号 和 管理 员 账 号 ， 从 而 丈 可 以 获取 整个 网 站 的 Webshell， 然 后 可 通过 开局 
Telnet 和 3389 端 口 来 攻击 该 网 站 服务 器 。 


3.32 ”使 用 NBSI 实 现 注入 


在 NBSI 中 可 以 检测 出 网 站 中 存在 的 注入 漏洞 ， 再 对 其 进行 注入 
具体 的 实现 步骤 如 下 。 
步骤 01: 下 载 并 运行 


NBSI 3.0， 双 击 NBSI.exe 应 用 程序 ， 即 可 打开 NBSI 操 作 主 窗口 ， 如 图 3-16 所 示 
可 以 在 注入 地 址 处 填 入 注入 点 的 URL， 否 则 将 需要 对 入 侵 网 站 进行 扫描 。 在 “工具 栏 


。 如 果 知 道 一 个 注入 上 后， 器 
”中 单 击 “ 网 站 扫 摘 
摘 ” 窗 口 ， 如 图 3-17 所 示 。 
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3-16 ”NBSI 主 窗口 
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图 3-17 “Mak Жап 


步骤 02: 人 在“ 注入 地 址 ”中 输入 要 入 侵 的 网 站 地 址 ， 选 择 AE A, SE "i28 БЕН, Ве Ин. ЯП 
果 人 在 扫 摘 过 程 中 友 现 注入 漏洞 ， 则 将 漏洞 地 址 及 注入 性 的 高 低 显 示 在 “ 扫 摘 结果 ”你 表 中 ， 如 图 3-18 所 示 。 


步骤 03: 人 在 “ 扫 摘 结果 ”列表 中 单 击 要 注入 的 网 址 ， 即 可 将 其 添加 到 “注入 地 址 ”文本 框 中 ， 如 图 3-19 所 示 。 单 击 “ 注 入 地 
址 ”文本 框 后 面 的 “注入 分 析 ” 按 钮 ， 即 可 打开 “注入 分 析 ” 窗 口 ， 如 图 3-20 所 示 。 


步骤 04: — 在 “特征 字符 ”文本 区 域 中 输入 相应 的 特征 字 答 ， 单 击 “ 检 测 ” 按 钮 ， 即 可 对 该 网 址 进行 检测 ， 其 检 
测 结果 如 图 3-21 所 示 。 待 检测 完毕 后 ， 如 果 “未 检测 到 注入 漏洞 ” 单 选 项 家 选中 ， 则 该 网 址 残 不 能 被 用 来 进行 注入 攻击 。 
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4319 ”添加 要 注入 的 网 站 地 址 
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图 3-20 “注入 分 析 ” 窗 口 
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图 3-21 对 选择 的 网 站 进行 检测 


步 又 05: 在 “已 猜 解 表 名 ”栏目 中 单 击 “ 猜 解 表 名 ”按钮 ， 即 可 打开 “SI 提示 信息 ”提示 框 ， 如 图 3-22 所 示 。 
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图 3-22 “SI 提示 信息 ”提示 框 


这 里 得 到 的 是 一 个 数字 型 +Access 数 据 库 的 注入 点 ，ASP+MSSQL 型 的 注入 方法 与 其 一 样 ， 都 可 以 在 注入 成 功 之 后 去 读 取 数据 库 的 


言 息 。 
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步骤 06: 单 击 “ 确 定 ” 按 钮 ， 即 可 对 选 定 的 表单 猜 解 。 待 猜 解 完毕 之 后 ， 将 会 在 “已 猜 解 表 名 ”文本 框 中 显示 出 数据 库 的 表 名 ， 
如 图 3-23 所 示 。 


步骤 07: 在 选中 要 猜 解 的 数据 表 后 ， 单 击 “ 猜 解 询 名 ”按钮 ， 即 可 得 到 该 数据 表 所 包 合 列 的 相 天 信息 ， 如 图 3-24 所 示 。 在 勾 选 要 
猜 解 列 名 前 面 的 复 选 框 后 ， 单 击 “ 猜 解 记录 ”按钮 ， 即 可 得 到 该 询 名 中 包 合 的 详细 信息 ， 如 图 3-25 所 示 。 
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步骤 08: 在 NBSI 主 窗口 的 “工具 栏 ”中 单 击 “ 扫 摘 及 工具 ”按钮 ， 即 可 进入 “ 扫 摘 及 工具 ”窗口 ， 如 图 3-26 所 示 


步骤 09: 将 前 面 扫 摘 出 来 的 标识 为 “可 能 性 : 较 高 ”的 网 址 复制 到 “扫描 地 址 ”文本 框 中 ; 勾 选 “由 根 目录 开始 扫 摘 ” 复 选 框 ， 
单 击 “ 开 始 扫 摘 ”按钮 ， 即 可 将 可 能 


子 企 的 管理 后 台 扫 摘出 来 ， 把 扫 摘 结 果 显 示人 在 “可 能 仓 在 的 管理 后 全” 绚 表 中 ， 如 图 3-27 所 示 。 
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一 般 情况 下 ， 扫 摘出 来 的 网 站 管理 后 台 不 止 一 个 ， 此 时 可 选择 默认 管理 页 面 ， 并 利用 破解 出 用 户 名 和 密码 进入 
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图 3-26 “扫描 及 工具 ”窗口 
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图 3-27 ”扫描 到 的 管理 后 台 


34 _ Domain 注入 工具 


目前 使 用 最 广泛 的 3 款 注入 攻击 工具 是 Domain3.5 旁 注 工 具 、 啊 D 注 入 工具 、NBSI， 这 些 工具 大 大 简化 了 网 页 注入 操作 的 难度 ， 
使 用 Domain3.5 旁 注 工具 同样 可 以 轻松 检测 出 网 站 的 数据 库 、 表 、 字 段 的 内 容 ， 甚 至 可 以 得 到 网 站 的 管理 权限 。 


34.1 Domain 功能 概述 


5) ЕМуебгла ЕЕ (Domain) 是 一 款 功 能 非常 强大 的 SQL 注 入 工具 ， 该 工具 具有 WHOIS 查 询 、 上 传 页 面 批量 检测 、shell 
上 传 、 数 据 库 浏览 及 加 密 解密 等 功能 。 利 用 该 工具 可 以 进行 芳 注 检测 、 综 合 上 传 、SQL 注 入 检测 、 数 据 库 管理 等 操作 ， 这 些 大 家 早已 
有 上 所 接触 。 而 虚拟 主机 域名 查询、 二 级 域名 查询、 整合 读 取 、 修 改 Cookies 功 能 比较 适合 初级 用 户 。 


Domain 主 要 包括 旁 注 检测 、 绽 合 上 传 、SQL 注 入 检测 、 数 据 库 管理 、 破 解 工具 及 辅助 工具 等 6 个 模块 ， 而 且 该 工具 的 每 个 模块 都 
有 许多 小 功能 。 另 外 该 工具 中 每 个 检测 功能 都 及 用 多 线程 技术 。Domain 工 具 中 各 个 模块 的 具体 作用 如 下 。 


1) 旁 注 检 测 模 块 : 访 模 块 包 括 虚 拟 主机 域名 查询 、 二 级 域名 查询 、 整 站 目录 扫 摘 、 网 站 批量 扫 摘 、 目 动 检测 网 站 排名 、 目 动 读 
取 \ 修 改 Cookies、 目 动 检测 注入 点 等 多 个 子 功能 ， 而 且 最 新 版 本 对 该 模块 大 部 分 功能 已 做 了 优化 。 


2) 综合 上 传 模块 : 综合 上 传 模块 包括 动 网 论坛 上 传 漏洞 、 动 力 上 传 漏洞 、 动 感 购物 商城 、 乔 客 上 传 漏洞 ， 以 及 目 定 义 上 传 等 功 


3) SQL 注入 检测 模块 : SQL 注入 模块 可 以 对 一 个 或 多 个 网 站 进行 批量 扫 摘 注入 点 、SQL 注 入 猜 解 检测 、M 3s3SQL 辅 助 工 具 、 管 理 
入 口 扫 拉 、 检 测 设 置 区 等 操作 。 其 中 批量 扫描 注入 点 可 以 对 一 个 或 多 个 网 址 进行 检测 。SQL 注 入 检测 模块 虽然 新 增 功能 不 太 多 ， 但 是 
在 功能 新 疾 和 速度 上 有 所 突破 。 


Д) 数据 库 管理 功 能 : 在 Domain 工 具 中 还 可 以 对 已 经 存在 的 各 种 数据 库 进 行 管理 ， 如 新 建 和 浏 虹 数据 库 、 新 建 表 及 字段 、 压 缩 
数据 库 、 修 改 数 据 库 密码 、 查 询 记 录 、 复 制 数 据 库 、 增 加 及 删除 记录 等 。 


5) 破解 工具 : 利用 Domain 中 自 带 的 破解 工具 可 以 破解 出 MD5 密 文科 Serv-U 密 码 等 ， 还 可 以 破解 出 Access 数 据 库 密码 和 
Pcanywhere 密 码 。 


6) 辅助 工具 : 在 Domain 中 自 市 的 辅助 工具 包括 BBSXP 最 新 利用 程序 、BBSXP 暴 库 工 具 、PHPwind2. 利 用 程序 、OfSstan 台 坛 利 
用 程序 、L-blog 漏 洞 利用 程序 及 PHPBBi 论 坛 录用 程序 等 ， 利 用 这 些 工 具 可 以 攻击 相应 的 网 站 。 


34.2 ”使 用 Domain 实 现 注入 


使 用 Domain 实 现 注入 的 具体 操作 步骤 如 下 。 


步骤 01: 下 载 并 解压 Domain 压 缩 文 件 ， 双 击 “Domain 注 入 工具 ”应 用 程序 图 标 ， 即 可 打开 “Domain 注 入 工具 ” 主 窗 口 ， 如 
图 3-28 所 示 。 


步骤 02: 在 “ 旁 注 检测 ”选项 卡 的 “输入 域名 ”文本 框 内 输入 要 注入 的 网 站 域名 ， 单 击 右 侧 的 ”按钮 ， 即 可 检测 出 该 网 站 域名 
所 对 应 的 IP 地 址 。 单 击 “ 查 询 ” 按 钮 ， 即 可 在 窗口 左下 部 分 列表 中 列 出 相关 的 6 个 站 上 后， 如 图 3-29 所 示 。 
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图 3-28 “ Domain 注入 工具 ” 主 窗 口 
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步骤 03: 选择 右 侧 列 表 中 的 任意 一 个 网 址 ， 单 击 “ 网 页 浏 儿 ”按钮 ， 即 可 打开 “网 页 浏览 ”页 面 ， 在 页 面 最 下 方 “ 注 入 后 ”列表 
中 列 出 了 所 有 刚 友 现 的 注入 点 ， 如 图 3-30 所 示 。 


步骤 04: 蛙 击 “二 级 检测 ”按钮 ， 即 可 进入 “二 级 检测 ”页 面 ， 分别 输入 域名 和 网 址 后 ， 即 可 查询 二 级 域名 并 检测 整 站 目录 。 如 
图 3-31 所 示 。 单 击 “ 网 站 批量 检测 ”按钮 ， 即 可 打开 “网 站 批量 检测 ”页 面 ， 在 其 中 查看 待 检测 的 几 个 网 址 ， 如 图 3-32 所 示 。 
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图 3-31 “二 级 检测 ”页 面 
步骤 05: 单 击 “ 添 加 指定 网 址 ”按钮 ， 即 可 打开 “添加 了 网址” 对话 框 ， 在 其 中 输入 想 要 添加 的 网 址 。 单 击 OK 按钮 ， 即 可 返 
回 “ 网 站 批量 检测 ”页 面 ， 如 图 3-33 所 示 。 


步骤 06: 单 击 页 面 最 下 方 的 “开始 检测 ”按钮 ， 即 可 成 功 分 析出 该 网 站 中 所 包含 的 页 面 ， 如 图 3-34 所 示 。 单 击 “ 保 存 结果 ” 按 
钮 ， 即 可 打开 Save As 对 话 框 ， 在 其 中 输入 想 要 保存 的 名 称 ， 单 击 Save 按 钮 ， 即 可 将 分 析 结 果 保 存 人 至 目标 位 置 ， 如 图 3-35 所 示 。 
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图 3-33 “添加 网 址 ”对 话 框 
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图 3-34 ”成 功 分 析 网 站 中 所 包含 的 页 面 
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图 3-35 ”保存 分 析 页 面 结 
步骤 07: 单 击 “ 功 能 设置 ”按钮 ， 即 可 打开 “功能 设置 ”页 面 ， 在 其 中 对 浏览 网 页 时 的 个 路 先 项 进行 设置 ， 如 图 3-36 所 示 。 


步骤 08: 在 “SQL 注入 ”选项 卡 中 单 击 “ 扫 摘 注 入 点 ”按钮 ， 即 可 打开 “扫描 注 入 点 ”标签 页 ， 单 击 “ 载 入 查询 网 址 ”按钮 ， 即 
可 在 “ 扫 摘 注入 点 ”下 方 列表 中 显示 关联 的 网 站 地 址 。 表 选中 与 前 面 设置 相同 的 网 站 地 址 之 后 ， 蛙 击 右 侧 的 “批量 分 析 注 入 后 ” 按 
钮 ， 即 可 在 “注入 上 后” 列表 中 显示 检测 到 并 可 注入 的 所 有 注入 后 ， 如 图 3-37 所 示 。 


步 又 09: 单 击 “SQL 注 入 猜 解 检测 ”按钮 ， 即 可 打开 “SQL 注入 猜 解 检测 ”页 面 ， 在 “注入 点 ”地 址 栏 中 输入 上 面 检测 到 的 任意 
一 条 注入 点 ， 如 图 3-38 所 示 。 


步骤 10: 蛙 击 “开始 检测 ”按钮 ， 并 在 “数据 库 ” 列 表 下 万 单 击 “ 猜 解 表 名 ”按钮 ， 在 “ 列 名 ”列表 下 万 单 击 “ 猜 解 列 名 ” 按 
Н; 在 “检测 结果 ”列表 下 方 单 击 “ 猜 解 内 容 ” 按 钮 ， 即 可 在 检测 信息 列表 中 看 到 3QL 注 入 猜 解 检测 的 所 有 信息 ， 如 图 3-39 所 示 。 
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图 3-38 “SQL 注入 猜 解 检测 ”页 面 
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图 3-39 SQL 注入 猜 解 检测 的 所 有 信息 
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使 用 Domain 扫 摘 管 理 后 台 的 方法 很 向 单 ， 具 体 的 操作 步骤 如 下 。 


步骤 01: 在 “Domain 注 入 工具 ” 主 窗 口中 选择 “3QL 注 入 ”选项 卡 ， 单 击 “管理 入 口 扫 摘 ” 按 钮 ， 即 可 进入 “管理 入 口 扫 


H 标签 页 I 如 图 3 -40 所 示 。 
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图 3-40 “管理 入 口 扫 描 标签 页 


步 又 02: 在 “注入 氮 ” 地 址 栏 中 输入 表面 扫 摘 到 的 注入 地 址 ， 并 根据 需要 选择 “从 当前 目录 开始 扫 摘 ” 单 选项 ， 单 击 “ 扫 摘 后 人 台 
地 址 ”按钮 ， 即 可 开始 扫 摘 并 在 下 方 的 列表 中 显示 所 有 扫 摘 到 的 后 台地 址 ， 如 图 3-41 所 示 。 


步骤 03: 蛙 击 “检测 设置 区 ”按钮 ， 即 可 打开 “检测 设置 区 ”页 面 ， 在 其 中 可 看 到 “设置 表 名 ”、“ 设 置 字 7 段 ”和 “后 台地 
址 ”3 个 列表 的 详细 内 容 。 


步骤 04: 通过 单 击 “ 添 加 ”按钮 和 “删除 ”按钮 ， 可 以 分 别 对 3 个 列表 的 内 容 进 行 相应 操作 ， 如 图 3-42 所 示 。 
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4342 “检测 设置 区 ”页 面 


344 使 用 Domain 上传 Webshell 


使 用 Domain 上 传 Webshell 的 方法 很 简单 ， 具 体 的 操作 步骤 如 下 。 


步骤 01: 在 “Domain 注 入 工具 ” 主 窗 口中 选择 “综合 上 传 ” 选 项 卡 ， 根 据 需要 选择 上 传 的 类 型 (这 里 选择 类 型 为 “ 动 网 上 传 漏 
i). 


步骤 02: 在 “基本 设置 ”栏目 中 填写 检测 出 的 任意 一 个 漏洞 页 面 地 址 ， 选 择 “ 黑 认 网 页 木马 ” 单 选 项 ， 在 “文件 名 ”和 Cookies 
文本 框 中 输入 相应 内 容 ， 单 击 “ 上 传 ”按钮 ， 即 可 在 “返回 信息 ”栏目 中 看 到 需 上 传 的 Webshell 地 址 ， 如 图 3-43 所 示 。 
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图 3-43 ЕН WebShell X ЗЕ 


步骤 03: 单 击 “打开 ”按钮 ， 即 可 根据 上 传 的 WebShell 地 址 打开 对 应 的 页 面 。 


35 ”PHP 注入 工具 ZBS| 


由 于 PHP+MysSQL 网 站 具有 安全 系数 较 局 、 访 问 速度 较 快 、 易 用 性 好 、 价 格 较 便 宜 等 优点 ， 目 前 很 多 中 小 型 企 事业 单位 都 采用 这 
种 模式 创建 网 站 ， 这 类 网 站 也 成 为 黑客 攻击 的 对 象 。 


3.5.1 ZBSIJ EIT 
PHP 注 入 攻击 是 现今 比较 流行 的 注入 攻击 方式 ,依靠 它 强大 的 灵活 性 吸引 了 广大 黑客 。PHP 注 入 也 分 为 这 种 ， 即 手工 注入 和 使 用 
工具 注入 。 


现在 可 用 于 PHP 注 入 的 工具 很 多 ，ZBSI 束 是 其 中 之 一 。ZBSl 是 一 蒜 经 典 的 PHP 注 入 辅助 工具 ， 使 用 该 工具 可 以 检测 PHP 网 站 中 是 
否 存 在 注入 漏洞 以 及 字段 数目 ， 还 可 以 将 其 作为 浏览 器 打开 指定 的 网 页 。 


3.5.2 ”使 用 ZBSI 实 现 注入 

由 于 目前 PHP 注 入 漏洞 普遍 存在 ， 并 且 开 发 出 很 多 优秀 的 注入 工具 ， 例 如 ZBSsl 和 CASsl。 这 可 以 让 黑客 避免 了 自己 手工 进行 猜 
解 ， 从 而 大 大 提高 了 入 侵 的 成 功率 。 

使 用 ZBSI 检 测 注入 点 的 具体 操作 步骤 如 下 。 

步骤 01: 在 IE 浏览 器 中 的 地 址 栏 中 输入 网 址 www.google.com 后 ， 按 回 车 键 ， 即 可 打开 Goodgle 搜 索引 警 ， 如 图 3-44 所 示 。 


步骤 02: 在 文本 框 中 输入 “php?id=”， 单 击 Google 搜 索 按 钮 ， 即 可 看 到 所 有 网址 合 有 中 “php?id=” 的 网 页 ， 如 图 3-45 所 
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63-45 搜索 网 址 中 含有 “phpp?id=” 的 网 址 


步骤 03: 下 载 并 运行 ZBSI V1.0, 345898) "ZBSI V1.0[PHP 注 入 工具 ].exe” 应 用 程序 ， 即 可 打开 “ZBSI V1.0[PHP 注 入 工 
具 ]” 主 窗口 ， 如 图 3-46 所 示 。 


步骤 04: 在 “注入 地 址 ”文本 框 中 输入 搜索 到 的 网 址 ， 单 击 “ 检 测 注 入 ”按钮 ， 即 可 对 其 检测 。 待 检测 完毕 后 ， 将 会 显示 该 网 站 
是 否 可 以 进行 PHP 注 入 ， 如 图 3-47 所 示 。 


278805: 在 ZBSI 中 还 可 以 对 得 到 字段 的 数目 进行 检测 ， 单 击 “ 字 段 数目 ”按钮 ， 即 可 看 到 “ 猜 解 得 到 的 字段 数目 ”对 话 框 ， 如 图 
3-48 所 示 。 单 击 “ 检 测 注 入 ”按钮 ， 即 可 在 “ZBSI V1.0[PHP 注 入 工具 ]” 主 窗口 中 看 到 含有 猜 解 到 字段 的 网 址 ， 如 图 3-49 所 示 。 
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图 3-47 对 网 站 进行 注入 检测 
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步骤 06: ZBSIEEFBIEFrr Жаъвятове, ТЕ “ZBSI V1.0[PHP 注 入 工具 ]” 主 窗口 的 “网 站 地 址 ”文本 框 中 输入 要 浏 氏 的 网 页 地 址 
后 ， 单 击 “ 浏 宽 ” 按 钮 ， 即 可 浏览 相应 的 网 页 ， 如 图 3-50 所 示 。 
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图 3-50 ”在 ZBSI 中 浏览 网 页 


在 各 种 黑客 横行 时 ， 如 何 实现 目 己 PHP 代 码 安全 ， 并 保证 程序 和 服务 器 的 安全 ， 是 一 个 很 重要 的 问题 。 在 编写 PHP 代 码 时 ， 对 变 
量 进行 初始 化 和 过 滤 ， 可 以 有 效 防御 PHP 注 入 。 


36 SQL 注入 攻击 的 防 泄 


由 于 SQL 注 入 攻击 具有 很 大 的 危害 性 ， 现 在 已 经 严重 影响 到 网 站 的 安全 ， 所 以 必须 防御 SQL 注 入 漏洞 的 存在 。 在 防御 SQL 注 入 攻 
击 时 ， 网 站 程序 员 必 须要 注意 可 能 出 现 安 全 漏洞 的 地 方 ， 主 要 是 用 户 输入 数据 的 页 面 。 
1. 对 用 户 输入 的 数据 进行 过 滤 


目前 引起 3QL 注 入 的 原因 是 程序 员 在 创建 网 站 时 对 特殊 字符 不 完全 过 滤 。 其 原因 还 是 因为 程序 S 员 没有 足够 的 脚本 安全 没 意 识 或 
考虑 不 周 。 常 见 的 过 滤 方 法 有 基础 过 滤 、 二 次 过 滤 以 及 SQL 通用 防 注入 程序 等 多 种 方式 。 


(1) 基础 过 滤 与 二 次 过 滤 


在 进行 SQL 注入 攻击 前 ， 需 要 在 可 修改 参数 中 提交 “ ”、 "and" 等 特殊 字符 判断 是 否 存 在 SQL 注入 漏洞 ; 而 在 进行 SQL 注入 
攻击 时 ， 需 要 提交 包含 “; ”、“--”、 “update”、“select” 等 特殊 字符 的 SQL 注入 语句 。 所 以 要 防范 SQL 注入 攻击 ， 则 需要 在 


用 尸 输 入 或 提交 变量 时 ， 可 对 这 些 特 殊 字 符 进 行 转换 或 过 滤 ， 这 样 才 可 以 在 很 大 程度 上 避免 SQL 注 入 漏洞 的 存在 。 


下 面 是 一 个 ID 变量 的 过 滤 性 语句 : 


if instr (request ("id"),",")>0 or instr(request("id"),"insert")»or instr (request ("id"),";")>0 then response.write" 
<SCRIPT language=javascript> 
javaScript:history.go (-1) ; 


</SCRIPT> 

response.end 

end if 

上 面 代码 作用 是 过 滤 ID 参 数 中 的 “; ”. ", "А "insert" FF. SDEREEIDASAFREJSUSIRU VT ES, MARERA. {Н 


危险 的 字符 远 不 止 这 几 个 ， 如 果 要 过 滤 其 他 了 字符， 只 需 将 危害 字符 加 到 上 面 的 代码 中 即 可 。 通 剃 情况 下 ， 在 获得 用 户 提 交 的 参数 时 ， 
首先 要 进行 基础 性 的 过 滤 ， 然 后 再 根据 程序 相应 的 功能 以 及 用 尸 输 入 的 数据 进行 二 次 过 渡 。 


(2) 在 PHP 中 对 参数 进行 过 滤 


与 ASP 注 入 相 比 ，PHP 注 入 的 难度 比较 大 ， 同 样 在 PHP 中 防御 SQL 注入 要 相对 容易 一 些 。 可 以 利用 PHP 网 站 中 配置 文件 php.ini 来 
对 PHP 站 点 进行 安全 设置 。 打 开 php.ini 文 件 的 安全 模式 ， 分 别 设置 safe mode=On 和 display errors=off。 因 为 如 果 显 示 PHP 执 行 错 
误 信 息 的 display_errors 属 性 是 On 的 话 ， 就 会 返回 很 多 信息 ， 这 样 黑客 就 可 以 利用 这 些 信息 进行 攻击 。 


另外 ， 在 该 文件 还 有 一 个 重要 的 属性 magic_quotes_gpc， 如 果 将 其 设置 为 On，PHP 网 站 就 会 自动 将 提交 含有 “"” 
“\” 等 特殊 字符 的 数据 转换 为 含有 反 和 斜 线 的 转 义 字符 。 该 属性 与 ASP 中 参数 的 过 滤 非 常 类 似 ， 它 可 以 防御 大 部 分 字符 型 注入 攻击 。 


(3) 使 用 SQL 通用 防 注入 程序 进行 过 滤 


通过 手工 的 方法 对 特殊 字符 进行 过 渡 难 免 会 留 下 过 渡 不 严 的 漏洞 ， 而 使 用 “SQL 通 用 防 注入 程序 ” 束 可 以 对 程序 进行 全 面 的 过 
滤 ， 从 而 避免 存在 SQL 脚 本 注入 漏洞 。 将 下 载 的 “SQL 通 用 防 注入 程序 V3.2” 和 存放 在 网 站 所 在 的 文件 夹 中 ， 然 后 只 需要 进行 位 日 的 设 
置 丈 可 以 很 轻松 地 帮助 程序 员 防 御 SQL 注 入 攻击 ， 这 是 一 种 比较 简单 的 过 滤 方 法 。 


该 工具 可 以 全 面 处 理 通 过 POST 和 GET 两 种 方式 提交 的 SQL 注入 ， 并 且 可 以 目 定义 需要 过 滤 的 字符 串 。 当 黑客 提交 SQL 注入 有 危险 信 
息 时 ， 它 融会 目 动 记 录 其 |P 地 址 、 提 交 数 据 、 非 法 操作 等 信息 。 使 用 9QL 通 用 防 注入 程序 进行 过 滤 的 具体 操作 步骤 如 下 。 


步骤 01: 将 下 载 的 “SQL 通用 防 注入 程序 ”压缩 包 解 讨 ， 即 可 看 到 该 工具 主要 包含 Neeao_9Sqlln.Asp、Neeao_sqi_admin.asp 和 
Sql.mdb 等 3 个 文件 ， 如 图 3-51 所 示 。 
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图 3-51 “SQL 通用 防 注入 程序 ”所 包含 的 文件 


步骤 02: 将 其 复制 到 网 站 所 在 的 文件 夹 中 ， 在 需要 防 注入 的 页 面 头 部 加 入 <!--#include filez"Neeao 5ап.Азр"--> 89, ЖЖ 
该 网 页 后 ， 即 可 使 黑客 无 法 对 该 网 页 进行 注入 攻击 ， 如 图 3-52 所 示 。 


如 果 要 想 使 整个 网 站 都 可 以 防 注 入 ， 则 可 以 在 数据 库 连 接 文件 〈 一 般 为 conn.asp) 中 加 入 <!--#include file="Neeao_SqlIn.Asp"--> 代 
码 ， 就 可 以 在 任意 页 面 中 调用 防 注 入 程序 。 


2. 使 用 专业 的 漏洞 扫 摘 工具 进行 扫 摘 


还 可 以 利用 一 泽 专 业 的 漏洞 扫 摘 工 具 来 扫 摘 网 站 中 存在 的 漏洞 ， 例 如 Acunetix 的 Web 漏 洞 扫 摘 程 序 。 一 个 完善 的 漏洞 扫 摘 程序 
可 以 专门 查找 网 站 上 的 SQL 注 入 式 漏洞 。 
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图 3-52 在 网 页 代码 中 加 入 防 注 入 程序 
3. 对 重要 数据 进行 加 密 


及 用 加 密 技术 对 网 站 中 重要 的 数据 进行 加 密 ， 如 用 MD5 加 密 ，M D5 没有 反 向 算法 ， 也 不 能 解密 ， 残 可 以 防范 注入 攻击 对 网 站 的 
威胁 。 


жан ”密码 攻防 工具 


在 日 党 办 公 中 离 不 开 各 种 各 样 的 软件 ， 如 Microsoft Office 系 列 、 文 件 夹 、 压 缩 包 等 。 但 是 目 表 这些 应 用 软件 也 仓 在 安全 的 问 
题 ， 只 有 对 这 些 文件 进行 加 密 ， 增 强 安全 意识 ， 才 可 能 减少 不 必要 的 损失 。 


Жаа; 
- 文件 和 文件 夹 密码 攻防 


办 公文 档 密码 攻防 


- 压缩 文件 密码 攻防 
- 多 媒体 文件 密码 攻防 
- 系统 密码 攻防 


其 他 密码 攻防 工具 


4.1 文件 和 文件 夹 密 码 攻 防 


文件 和 文件 夹 是 计算 机 磁盘 空间 里 面 为 了 分 类 储存 电子 文件 而 建立 的 独立 路 径 的 目录 ，“ 文 件 夹 ”区 是 一 个 目录 名 称 。 文 件 夹 不 
但 可 以 包含 文件 ， 而 且 可 包含 下 一 级 文件 来 。 为 了 保护 文件 夹 的 安全 ， 还 需要 给 文件 或 文件 夹 进行 加 密 。 


411 文件 分 割 巧 加 密 

为 保护 自己 文件 的 安全 ， 可 以 将 其 分 割 成 几 个 文件 ， 并 在 分 割 的 过 程 中 进行 加 密 ， 这 样 黑 客 对 分 割 后 的 文件 瓯 束手无策 了 。 在 本 
节 将 介绍 两 款 常 见 的 文件 分 割 工 具 。 

(1) Fast File Splitter 


文件 分 割 工 具 Fast File Splitter 可 把 大 文件 快速 分 割 成 几 个 小 部 分 ， 以 便于 用 软盘 携 市 或 用 E-mail 友 送 ， 支 持 目 定义 分 割 文件 的 
大 小 和 数量 ， 支 持 创建 目 解压 格式 的 分 割 文件 包 ， 支持 数据 包 的 加 密 功 能 。 使 用 Fast File Splitter 软 件 分 割 和 合并 文件 的 具体 操作 步 
又 如 下 。 


步骤 01: 运行 Fast File Splitter 软件 ， 即 可 打开 Fast File Splitter 主 界面 ， 如 图 4-1 所 示 。 在 Options (选项 ) 选项 卡 中 可 分 别 对 
常规 选项 、 优 化 选项 、 加 密 选 项 等 属性 进行 设置 ， 如 图 4-2 所 示 。 
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图 4-1 Fast File Splitter 主 界面 
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步骤 02: 在 设置 完 各 个 选项 后 ， 在 Split (2251) 选项 卡 中 设置 来 源 文 件 、 目 标 文件 夹 、 目 标 基准 并 称 、 分 割 类 型 后 ， 在 “分 
荐 ”选项 卡 中 你 选 Encrypt (加 密 ) 复 选 框 ， 在 Encryption (加 密 密 码 ) 文本 框 中 输入 相应 的 密码 ， 如 图 4-3 所 示 。 


了 分 割 。 待 分 割 完成 后 ， 即 可 看 到 Success (成 功 ) 对 话 框 ， 如 


步骤 03: 在 设置 完 加密 属 性 后 ， 单 击 Split (分 割 ) 按钮 ， 即 可 进行 分 家 
图 4-4 所 示 。 单 击 “ 确 定 ”按钮 ， 即 可 完成 分 割 文 件 操作 。 此 时 打开 设置 的 目标 文件 夹 ， 在 其 中 可 看 到 分 割 后 的 文件 ， 如 图 4-5 所 示 。 
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图 4-3 “3 X 


步骤 04: 在 Fast File Splitter 中 还 可 以 按 文件 的 数量 进行 分 割 ， 在 Split (分 割 ) 选项 卡 下 的 Splitting Style (分 割 类 型 ) 栏目 中 选 
择 By Files Numb ( 按 文件 数量 ) 单 选项 ， 在 Files (文件 数量 ) 文本 框 中 输入 每 个 分 割 文件 包含 的 文件 数目 ， 单 击 Split (7381) TZ 
钮 ， 即 可 进行 分 割 ， 如 图 4-6 所 示 。 


22805: 在 Fast File Splitter 中 还 可 以 合并 分 割 的 文件 ， 在 Join (合并 ) 选项 卡 中 设置 Source file (来 源 文件 ) 、 
Destination (目标 文件 夹 ) ， 如 图 4-7 所 示 。 
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步骤 06: 单 击 Join (合并 ) 按钮 ， 即 可 打开 Enter Encryption Password (输入 加 密 的 密码 ) 对 话 框 ， 如 图 4-8 所 示 。 在 其 中 输入 
前 面 设置 的 加 密 的 密码 。 单 击 OK (хе) 按钮 ， 即 可 进行 合并 。 待 合并 完成 后 ， 即 可 看 到 Success (成 功 ) 提示 杠 ， 如 图 4-9 所 示 。 


(2) Chop SITE 


Chop 分 割 工 具 使 用 普通 窗口 或 向 导 界 面 ，Chop 和 能够 按照 用 户 想 要 的 文件 数量 、 最 大 文件 大 小 分 割 文件 ， 也 可 以 使 用 预 设 的 用 于 
电子 邮件 、 软 盘 、Zip 盘 、CD 等 的 通用 大 小 分 割 文 件 。Chop 能 以 向 导 或 普通 界面 劈 分 和 合并 文件 ， 并 支持 保留 文件 时 间 和 属性 、 
CRC、 命 令 行 操 作 ， 甚 至 进行 简单 加 密 。 


使 用 Chop 分 割 和 合并 文件 的 具体 操作 步骤 如 下 。 


步骤 01: 下 载 Chop 工 具 后 ， 解 压 并 运行 其 中 的 Chop.exe 文 件 ， 即 可 打开 Chop 窗 口 ， 如 图 4-10 所 示 。 选 择 要 劈 分 /合并 的 文件 ， 
勾 选 “加 密 ” 复 选 框 ， 在 后 面 的 文本 框 中 输入 加 密 的 密码 ， 最 后 设置 输出 的 目标 位 置 ， 如 图 4-11 所 示 。 
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图 4-6” 按 文件 的 数量 进行 分 割 
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图 4-8 “输入 加 密 的 密码 ”对 话 框 
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图 4-9 “文件 已 合并 ”对 话 框 


步骤 02: 单 击 “ 开 始 劈 分 ”按钮 ， 即 可 开始 进行 分 割 文件 的 操作 。 待 分 割 完 成 后 ， 即 可 看 到 “已 完成 ”提示 框 ， 如 图 4-12 所 示 。 


步骤 03: 单 击 “ 继 续 ” 按 钮 ， 即 可 完成 劈 分 文件 的 操作 。 此 时 打开 设置 的 输出 目标 文件 夹 ， 即 可 看 到 劈 分 后 的 文件 ， 如 图 4-13 所 
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步骤 04: 在 Chop 软 件 中 还 可 以 使 用 向 导 臂 分 文件 。 在 Chop 窗 口中 单 击 “向 导 ” 按 钮 ， 即 可 打开 “选择 文件 ”对 话 框 ， 如 图 4- 
14 所 示 。 


步骤 05: 单 击 “ 选 择 ” 按 钮 ， 在 打开 的 对 话 框 中 选择 要 臂 分 的 文件 ， 单 击 “ 下 一 步 ”按钮 ， 即 可 打开 “ 臂 分 模式 ”对 话 框 ， 如 图 
4-15 所 示 。 在 设置 分 友 / 仓 储 方式 后 ， 单 击 “ 下 一 步 ”按钮 ， 即 可 打开 “选择 目标 位 置 ” 对 话 框 ， 如 图 4-16 所 示 。 
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步骤 06: 在 “ 臂 分 /合并 的 文件 存储 位 置 ”栏目 中 选择 “在 选中 文件 夹 中 创建 同名 的 文件 夹 ” 单 选项 ， 单 击 “ 选 择 ” 按 钮 ， 在 其 
中 选择 臂 分 文件 的 存储 位 置 ， 单 击 “ 下 一 步 ”按钮 ， 即 可 打开 “选项 ” 


步骤 07: 勾 选 “加 密 ” 复 选 框 并 在 文本 框 中 输入 相应 密码 。 单 击 “ 
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对 话 框 ， 在 其 中 选择 “使 用 Chop” 单 选项 ， 如 图 4-17 所 示 。 


完成 ”按钮 ， 即 可 开始 进行 劈 分 文件 的 操作 ， 待 劈 分 文件 完成 


， 即 可 看 到 “已 完成 ”提示 框 ， 如 图 4-18 所 示 。 


步骤 08: 也 可 以 使 用 Chop 软 件 合并 劈 分 后 的 文件 。 在 Chop 窗 口中 单 击 “ 要 劈 分 /合并 的 文件 ”栏目 中 的 “选择 ”按钮 ， 即 可 打 


“打开 ”对 话 框 ， 如 图 4-19 所 示 。 
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图 4-14 “选择 文件 ”对 话 框 
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图 4-16 “选择 目标 位 置 ” 对 话 框 
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图 4-17 “选项 ”对 话 框 


图 4-18 “已 完成 ”提示 框 
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图 4-19 


109: 在 其 中 选择 要 合并 的 文件 ， 这 里 必须 选择 
文件 的 存储 位 置 ， 如 图 4-20 所 示 。 
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型 的 文件 ， 单 击 “ 打 开 ” 按 钮 即 可 返回 Chop 窗 口 ， 在 其 中 设置 合并 后 


待 合并 完成 后 ， 即 可 看 到 “已 完成 ”提示 框 ， 如 图 4-21 所 示 。 
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94-20 设置 合并 文件 存储 位 置 


4.1.2. ”对 文件 夹 进行 加 密 
除 给 计算 机 中 的 文件 进行 加 密 ， 还 需要 为 文件 夹 加 密 。 使 用 Windows 系 统 中 自 带 的 加 密 功 能 可 以 对 文件 夹 以 及 子 文 件 进 行 加 
密 ， 还 可 以 使 用 专门 的 工具 对 文件 夹 进行 加 密 。 
(1) 使 用 Windows 系 统 自 带 的 加 密 功 能 


对 于 很 多 企业 公司 ， 多 人 用 一 台 计 算 机 的 情况 是 非常 常见 的 。 如 果 不 希 户 别 人 访问 目 己 创建 的 内 容 ， 可 运用 Windows 目 市 的 加 
密 文件 系统 对 目 己 创建 的 文件 夹 及 其 子 文件 进行 加 密 。 


具体 的 操作 步骤 如 下 。 


步骤 01: 右 击 “我 的 电脑 ”图 标 ， 从 弹出 的 快捷 菜单 中 选择 “资源 管理 器 ”选项 ， 即 可 打开 “资源 管理 器 ”窗口 ， 如 图 4-22 所 
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步骤 02: 在 选择 需要 加 密 的 文件 夹 〈 例 如 选择 Picture 文 件 夹 ) 之 后 ， 右 击 并 从 弹出 茉 蛙 中 选择 “属性 ”选项 ， 即 可 打开 “新 建 
文件 夹 属性 ”对 话 框 ， 如 图 4-23 所 示 。 


步 又 03: 单 击 “ 高 级 ”按钮 ， 即 可 打开 “高 级 属性 ”对 话 框 ， 如 图 4-24 所 示 。 
步骤 04: 在 勾 选 “加 密 内 容 以 便 保护 数据 ” 复 选 框 后 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 打开 “确认 属性 更 改 ” 对 话 框 ， 如 图 4-25 所 示 。 


278805: 在 选择 相应 的 单 选 按钮 忆 后 ， 单 击 “ 确 定 ”按钮 ， 即 可 完成 文件 的 加 密 操作 。 


利用 Windows 系 统 自 带 的 加 窖 功能 对 文件 夹 进行 加 获 ， 只 适合 NTFS 文 件 系统 ， 而 不 适合 FAT32 文 件 系 统 。 
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64-5 “新 建文 件 夹 属性 ”对 话 框 
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64-4 “高 级 属性 ”对 话 框 


您 已 经 选择 对 属性 进行 以 下 更 羽 : 
ДЖ 


аве ОБРА TEHA Зета Е Ни и РАПН. 


O шр HERE PESE 
@ 将 更 改 应 用 于 此 文件 夹 、 子 文件 夹 和 文件 


4425 “确认 属性 更 改 ” 对 话 框 


(2) 文件 夹 加 密 超级 大 师 


“文件 夹 加 密 超级 大 师 ” 是 一 款 强大 的 文件 加 密 软 件 和 文件 夹 加 密 软 件 ， 具 有 文件 加 密 、 文 件 夹 加 密 、 数 据 粉 碎 、 彻 底 隐 藏 硬盘 
分 区 、 茜 止 或 只 读 使 用 USB 设 备 等 功能 。 


使 用 “文件 夹 加 密 超级 大 师 ” 软 件 进行 加 密 的 具体 操作 步骤 如 下 。 


步骤 01: 下 载 并 安 半 “文件 夹 加 密 超 级 大 师 ” 软 件 后 ， 双 击 果 面 上 的 快捷 图 标 ， 即 可 打开 “文件 夹 加密 超 级 大 师 ” 主 窗口 ， 如 图 
4-26 Тл. 
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图 4-26 “文件 夹 加 密 超 级 大 师 ” 主 窗口 


步骤 02: 蛙 击 “文件 夹 加 密 ” 按 钮 ， 即 可 打开 “浏览 文件 夹 ”对话 框 ， 如 图 4-27 所 示 。 选 择 要 加 密 的 文件 来， 单 击 “ 确 定 ” 按 
钮 ， 即 可 打开 “加 密 文件 夹 ” 对 话 框 ,如 图 4-28 所 示 。 
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图 4-28 “加 密 文 件 夹 ”对 话 框 


步 又 03: 在 其 中 输入 要 设置 的 密码 ， 单 击 “ 加 密 ” 按 钮 ， 即 可 进行 加 密 。 街 解密 完成 ， 即 可 在 “文件 夹 加 密 超 级 大 师 ” 主 窗口 中 
的 “文件 夹 ”列表 中 看 到 加 密 的 文件 来 ， 如 图 4-29 所 示 。 
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步骤 04: 加 密 后 文件 夹具 有 最 高 的 加 密 强度 ， 且 防 删除 、 防 复制 、 防 移动 ， 还 有 打开 功能 (临时 解密 ) ， 让 每 次 使 用 加 密 文件 夹 
或 加 密 文 件 后 不 用 重新 加 密 。 双 击 使 用 “文件 夹 加 密 超 级 大 师 ” 加 密 过 的 文件 夹 ， 即 可 打开 “请 输入 密码 ”对 话 框 ， 如 图 4-30 所 示 。 
在 其 中 输入 设置 的 密码 ， 才 可 临时 解密 并 打开 该 文件 来 。 如 果 单 击 “ 解 密 ” 按 钮 ， 则 可 进行 解密 操作 。 


步骤 05: 人 在 “文件 夹 加 密 超 级 大 师 ” 工 具 中 还 可 以 对 单个 文件 进行 加 密 。 在 “文件 夹 加 密 超 级 大 师 ” 主 窗口 中 单 击 “ 文 件 加 


密 ” 按 钮 ， 即 可 打开 “打开 ”对 话 框 ， 如 图 4-31 所 示 。 
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64-1 “打开 ”对 话 框 


步骤 06: 选择 要 加 密 的 文件 ， 这 里 选择 rmvb 类 型 的 文件 ， 蛙 击 “ 打 开 ” 按 钮 ， 即 可 打开 “加 密 文件 ”对 话 框 ， 如 图 4-32 所 示 。 


在 其 中 设置 加 密 密 码 和 加 密 类 型 ， 单 击 “ 加 密 ” 按 钮 ， 即 可 进行 加 密 ， 如 图 4-33 所 示 。 
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图 4-32 “加 密 文 件 ” 对 话 框 


图 4-33 ”对 选择 的 文件 进行 加 密 


步 又 07: 待 加 密 完成 后 ， 即 可 在 “文件 夹 加 密 超 级 大 师 ” 主 窗口 中 的 “文件 ”列表 中 看 到 成 功 加 密 的 文件 ， 如 图 4-34 所 示 。 双 击 
其 中 的 文件 名 ， 同 样 可 以 打开 “请 输入 密码 ”对 话 框 ， 如 图 4-35 所 示 。 只 有 在 “密码 ”文本 框 中 输入 正确 的 密码 ， 才 可 以 打开 该 广 
件 。 
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图 4-34 成功 加 密 文 件 
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图 4-35 “请 输入 密码 ”对 话 框 


步骤 08: 人 在 “文件 夹 加 密 超 级 大 师 ” 工 具 中 还 将 文件 夹 伪 委 成 特定 的 图 标 。 在 “文件 夹 加 密 超级 大 师 ” 主 窗口 中 单 击 “ 文 件 夹 伪 
”按钮 ， 即 可 打开 “ 浏 哆 文件 夹 ”对 话 框 ， 如 图 4-36 所 示 。 
步 又 09: 在 其 中 选择 要 伪 委 的 文件 夹 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 打开 “请 选择 要 伪 半 的 类 型 ”对 话 框 ， 在 其 中 勾 选 “html 广 
复 选 枉 ， 如 图 4-37 所 示 。 单 击 “ 确 定 ” 按 钮 ， 即 可 打开 “文件 夹 伪 委 成 功 ” 提 示 框 ， 如 图 4-38 所 示 。 


E47 My Documents 


НСА Program Files 


图 4-36 “浏览 文件 夹 ” 对 话 框 
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步骤 10: ЕН "ТХЕ" ЖШ, Вегго ЕЕ, E AARRE, БЕГЕН ХЕНУУ 122257: 


html 类 型 的 文件 ， 如 图 4-39 所 示 。 
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4438 “文件 夹 伪 装 成 功 ” 提 示 框 


步骤 11: 在 “文件 夹 加 密 超级 大 师 ” 主 窗口 中 单 击 “ 高 级 设置 ”按钮 ， 即 可 打开 “高 级 设置 ”对 话 框 ， 在 其 中 可 以 为 该 软件 设置 
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4.1.3 WinGuard Pro 加 密 应 用 程序 


WinGuard Pro 能 用 密码 保护 程序 、 窗 口 和 网 页 ， 加 密 私 人 文件 和 文件 夹 。 它 为 计算 机 提供 了 多 合 一 的 安全 解决 方案 ， 能 够 锁 住 
扣 面 、 启 动 键 、 任 务 键 、 禁 止 软件 安 闭 和 internet 接 入 等 。 使 用 WinGuard Pro 加 密 应 用 程序 的 具体 操作 步骤 如 下 。 

步骤 01: 下 载 并 安装 WinGuard Pro， 在 桌面 上 双击 WinGuard Configuration 图 标量 ， 即 可 打开 WinGuard Configuration ( 配 
в) 对 话 框 ， 如 图 4-41 所 示 。 
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No password found, the defualt 
Is: letmiein 


Password: 


图 4-41 ”限制 对 话 框 
步骤 02: 在 Password (密码 ) 文本 框 中 输入 密码 ， 即 可 打开 WinGuard Pro 主 窗口 ， 如 图 4-42 所 示 。 


步骤 03: 切换 至 Password (密码 ) 选项 卡 ， 可 对 加 密 密 码 进行 设置 。 根 据 提示 在 文本 框 中 输入 要 设置 的 密码 ， 单 击 Apply (应 


FH) 按钮 ， 即 可 设置 成 功 ， 如 图 4-43 所 示 。 


— 


22805: 切换 至 File Protection (文件 保护 ) 选项 卡 ， 单 击 Browse for File (浏览 文件 ) 按钮 ， 选 择 要 加 密 的 文件 ， 选 定 后 单 击 
Encrypt (加 密 ) 按钮 ， 即 可 对 文件 进行 加 密 ， 如 图 4-44 所 示 。 


步骤 06: 加 密 完成 后 在 选 定 的 文件 目录 下 可 以 看 到 文件 已 被 加 密 ， 如 图 4-45 所 示 。 


步骤 07: 如 果 想 查看 已 加 密 的 文件 ， 则 需 对 其 进行 解密 。 双 击 需 要 解密 的 文件 ， 会 弹出 WinGuard Configuration 对 话 框 ， 如 图 
4-46 所 示 。 在 其 中 输入 设置 的 加 密 密 码 ， 单 击 Enter (进入 ) 按钮 ， 即 可 打开 WinGuard 主 窗口 ， 如 图 4-47 所 示 。 
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图 4-43 Password (5555) 选项 卡 
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图 4-44 File Protection (文件 保护 ) 选项 卡 
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图 4-45 已 加 密 的 文件 


WinGuard Configuration 


Enter your password to access 
WinGuard Configuration. 


Password: 


图 4-46 ”输入 加 密 的 密码 


步骤 08: 在 File Protection (文件 保护 ) 选项 卡 下 选中 要 解密 的 文件 ， 单 击 Decrypt (解密 ) 按钮 ， 即 可 对 文件 进行 解密 。 解 密 
完成 后 在 选 定 的 文件 目录 下 可 以 看 到 文件 已 被 解密 ， 如 图 4-48 所 示 。 
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图 4-47 文件 解密 
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图 4-48 已 解密 的 文件 


4.2 ”办 公文 档 密码 攻防 


大 多 数 文档 编辑 都 是 在 Office 中 完成 的 ， 这 融会 涉及 一 些 文 件 安全 问题 ， 所 以 对 Office 文 件 进行 加 密 融 显得 非 音 必要 了 。 


4.2.1 对 Word 文 档 进 行 加 密 

Microsoft Word 2013 在 提供 加 密 文 档 的 同时 ， 还 提供 保护 文档 功能 。 在 本 节 将 介绍 对 Word 文 档 进 行 加 密 ， 以 防止 别人 进行 突 
探 与 修改 。 

(1) 使 用 强制 保护 功能 

Microsoft Word 2013 目 市 的 强制 保护 功能 ， 可 以 帮助 用 户 保 护 自 己 的 Word 文 档 不 被 修改 。 有 具体 的 操作 步骤 如 下 。 


步骤 01: 在 Microsoft Word 2013 主 窗口 中 打开 要 加 密 的 Word 文 件 ， 选 择 “审阅 ”选项 卡 ， 如 图 4-49 所 示 。 单 击 “ 限 制 编 
辑 ” 按 钮 ， 即 可 在 Word 2013 主 窗口 右边 打开 “限制 格式 和 编辑 ”对话 框 ， 如 图 4-50 所 示 。 


步骤 02: 在 “编辑 限制 ”栏目 中 多 选 “ 仪 允许 在 文档 中 进行 此 类 编辑 ” 复 选 框 ， 即 可 激活 “是 ， 局 动 强 制 保护 ”按钮 ， 如 图 4-51 
所 示 。 单 击 “ 是 ， 局 动 强制 保护 ”按钮 ， 即 可 打开 “局 动 强制 保护 ”对 话 框 ， 如 图 4-52 所 示 。 


步骤 03: 在 其 中 选择 “密码 ” 单 选项 并 输入 密码 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 对 该 Word 文 档 进 和 
能 对 其 进行 修改 的 。 如 果 想 取消 对 Word 文 档 的 保护 ， 则 需 单 击 “ 
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图 4-49 “审阅 ” 选项 卡 
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图 4-50 “限制 格式 和 编辑 对 话 杠 
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4451 激活“ 是， 启动 强制 保护 ”按钮 


图 4-52 “启动 强制 保护 ”对 话 框 
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步骤 04: 在 “密码 ”文本 框 中 输入 设置 的 密码 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 对 该 Word 文 档 进 行 编辑 操作 。 
(2) 使 用 “常规 选项 ”进行 加 密 


在 Microsoft Word 2013 的 “常规 选项 ”中 ， 不 仅 可 以 设置 打开 Word 文 档 密 码 ， 还 可 以 设置 修改 Word 文 档 密码 ， 这 样 可 以 对 
Word 文 档 具 有 双重 保护 作用 。 


使 用 “常规 选项 ”加 密 Word 文 档 的 具体 操作 步骤 如 下 。 


步 又 01: 在 Microsoft Word 2013 主 窗口 中 单 击 “ 文 件 ” 菜 单项 ， 即 可 打开 “信息 ”窗口 ， 如 图 4-55 所 示 。 人 在 左边 的 列表 中 选 
择 “ 另 存 为 ”选项 ， 即 可 打开 “另存 为 ”对 话 框 ， 如 图 4-56 所 示 。 
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图 4-53 ”对 Word 文 档 实行 保护 


8454 “取消 保护 文档 ”对 话 框 


步骤 02: 在 其 中 设置 保存 名 称 和 位 置 ， 单 击 左 下 方 的 “工具 ”按钮 ， 在 弹出 快捷 菜单 中 选择 “常规 选项 ”选项 ， 即 可 打开 “常规 
选项 ”对 话 框 ， 如 图 4-57 所 示 。 
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图 4-55 “信息 窗口 
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步骤 03: 分 别 企 “打开 文档 时 的 密码 ”文本 框 和 “修改 文档 时 的 密码 ”文本 框 中 输入 相应 的 密码 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 打 
开 “ 确 认 密 码 ” 对 话 框 ， 如 图 4-58 所 示 。 
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图 4-57 “常规 选项 ”对 话 框 


步 又 04: 在 其 中 输入 刚才 设置 的 打开 文件 密码 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 打开 “确认 密码 ”对 话 框 ， 如 图 4-59 所 示 。 此 时 返 
回 “另存 为 ”对 话 框 ， 单 击 “ 保 存 ” 按 钮 ， 即 可 保存 Word 文 档 。 


步 又 05: 再 次 打开 该 Word 文 档 时 ， 会 出 现 “ 请 键入 打开 文件 所 需 的 密码 ”提示 框 ， 在 其 中 输入 前 面 设 置 的 打开 文件 密码 ， 如 图 
4-60 所 示 。 


步骤 06: 单 击 “确定 ”按钮 ， 即 可 看 到 “请 键入 修改 文件 所 需 的 密码 ”提示 框 ， 在 其 中 修改 设置 的 修改 文件 密码 ， 如 图 4-61 所 
示 。 单 击 “ 确 定 ”按钮 ， 即 可 打开 刚才 加 密 的 Word 文 档 。 


64-58 “确认 密码 ”对 话 框 


图 4-59 “确认 密码 ”对 话 框 
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图 4-61 输入 修改 文件 密码 


4.2.2 ”使 用 AOPR 解 密 Word 文 档 


Advanced Office Password Recovery (АОРК) 是 一 个 密码 恢复 软件 ， 利 用 该 工具 可 以 恢复 Microsoft Office 2013 文 档 的 密 


19, ША З ЕУ. 
使 用 AOPR 解 密 Word 文 档 的 具体 操作 步骤 如 下 。 


步骤 01: 下 载 并 安装 AOPR 软 件 后 ， 在 桌面 上 双击 图 图 标 ， 即 可 打开 Advanced Office Password Recovery 主 窗口 ， 如 图 4-62 所 
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94-62 > Advanced Office Password Recovery @ 0 
步骤 02: 单 击 “ 打 开 文件 ”按钮 ， 即 可 打开 “打开 文件 ”对 话 框 ， 在 其 中 选择 需要 解密 的 Word 文 档 ， 如 图 4-63 所 示 。 


步 又 03: 单 击 “打开 ”按钮 即 可 进行 解密 操作 ， 在 “预备 破解 ”对 话 框 中 ， 即 可 看 到 破解 的 具体 进度 ， 如 图 4-64 所 示 。 竺 解密 完 
成 后 ， 即 可 打开 “Word 密 码 已 被 恢复 ”信息 框 ， 在 其 中 可 看 到 解密 出 的 各 种 密码 ， 如 图 4-65 所 示 。 


图 4-63 “打开 文件 ”对 话 框 
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8464 ”正在 破解 Word 文 档 代码 


Word 密码 已 被 恢复 
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图 4-65 Жи) А 


4.2.3 ”对 Excel 进 行 加 密 


Microsoft Excel 2013 在 提供 加 密 文 档 的 同时 ， 还 提供 保护 工作 表 、 保 护 工 作 秒 等 功能 ， 用 户 可 以 使 用 这 些 功 能 来 对 Excel 文 档 进 
行 保护 ， 以 防止 别人 进行 宽 探 或 修改 。 


$ 


(1) 使 用 “常规 选项 ”进行 加 密 


E 


Excel 2013 中 的 “常规 选项 ”功能 与 Word 中 的 该 项 功能 相似 ， 都 是 对 Excel 文 档 和 修改 文档 同时 进行 加 密 。 具 体 的 操作 步骤 如 


步骤 01: 在 加 密 之 前 在 Microsoft Excel 2013 主 窗口 中 打开 要 加 密 文 件 ， 如 图 4-66 所 示 。 单 击 “ 文 件 ” 菜 单项 ， 即 可 打开 “ 信 
”窗口 ， 如 图 4-67 所 示 。 
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图 4-66 ”打开 要 加 密 的 Excel 文 件 
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步骤 02: ЖЕНЕ "ИРУ" e, ШЕТ “А” ХЕ, RHES34-68FR;x, ЕН ЕТ Мм, ЕН 
c EU 按钮 ， 在 弹出 快捷 荣 单 中 选择 “ 音 规 选项 ”选项 ， 即 可 打开 “ 单 规 选项 ”对 话 框 ， 如 图 4-69 所 示 。 

步骤 03: 分 别 企 “打开 文档 时 密码 ”文本 框 和 “修改 文档 时 的 密码 ”文本 框 中 输入 相应 的 密码 后 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 打 
开 “ 确 认 密 码 ” 对 话 框 ， 如 图 4-70 所 示 。 
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64-68 “另存 为 ”对 话 杠 


4-60 “常规 选项 ”对 话 框 


步骤 04: 在 其 中 输入 设置 的 密码 ， 单 击 “ 确 定 ”按钮 ， 即 可 打开 “重新 输入 修改 权限 密码 ”对 话 框 ， 如 图 4-71 所 示 。 在 密码 文本 
框 中 输入 正确 的 密码 ， 单 击 “ 确 定 ”按钮 选 定 的 Excel 文 档 加 密 。 


图 4-70 “确认 密码 ”提示 杠 


图 4-71 “重新 输入 修改 权限 密码 ”对 话 框 


(2) 使 用 强制 保护 功能 
Microsoft Excel 2013 自 带 的 强制 保护 功能 ， 可 以 保护 Excel 文 档 中 的 工作 表 、 工 作 簿 不 被 修改 。 具 体 的 操作 步骤 如 下 。 


步骤 01: 在 Microsoft Excel 2013 主 窗口 中 ， 在 “审阅 ”选项 卡 中 可 以 看 到 “保护 工作 表 ”、 “保护 工作 短 ” 、“ 共 享 工作 


~ 了 个 
йү 


”等 功能 按钮 ， 如 图 4-72 所 示 。 
步骤 02: 单 击 “ 保 护 工作 表 ” 按 钮 ， 即 可 打开 “保护 工作 表 ” 对 话 框 ， 如 图 4-73 所 示 。 


步 又 03: 勾 选 “保护 工作 表 及 锁定 的 单元 格 内 容 ” 复 选 框 ， 在 密码 文本 框 中 输入 密码 ， 即 可 单 击 “ 确 定 ” 按 钮 ， 即 可 打开 “确认 
密码 ”对 话 框 ， 在 其 中 输入 设置 的 密码 ， 如 图 4- 74 所 示 。 单 击 “ 确 定 ” 按 钮 ， 即 可 完成 对 工作 表 的 保护 。 


步骤 04: 蛙 击 “保护 工作 水 ”按钮 ， 在 弹出 菜单 中 选择 “保护 结构 和 窗口 ”选项 ， 即 可 打开 “保护 结构 和 窗口 ”对 话 框 ， 如 图 4- 
75 所 示 。 在 其 中 设置 密码 ， 单 击 “ 确 定 ” 按 钮 ， 在 “确认 密码 ”对 话 框 中 再 次 输入 密码 ， 即 可 实现 对 工作 湾 的 保护 。 


步骤 05: 在 Excel 2013 中 还 可 以 对 共享 的 工作 簿 进行 保护 ， 单 击 “ 保 护 共享 工作 和 水” 按钮， 即 可 打开 “保护 共享 工作 德 ” 对 话 
框 ， 在 其 中 设置 保护 密码 ， 如 图 4-76 所 示 。 单 击 “ 确 定 ” 按 钮 ， 即 可 实现 对 共享 工作 湾 的 保护 。 
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84-72 “审阅 ”选项 卡 


图 4-73 “保护 工作 表 ЖЕ 


图 4-74 “确认 密码 ”对 话 框 


4475 “保护 结构 和 窗口 ”对 话 框 


如 要 设置 密码 ， 必须 在 此 时 进行 ， 即 在 将 工作 党 共享 之 前 进行 . 
e EET) (P): 


жи 


图 4-76 “保护 共享 工作 簿 ”对 话 框 


424 ”轻松 查看 Excel 文 档 密码 

“办 公文 件 密码 恢复 程序 ”是 一 款 国 产 密码 恢复 软件 ， 它 可 以 恢复 Microsoft Office 应 用 程序 加 密 的 文件 ， 如 Word、Excel 等 文 
档 。 如 果 没有 进行 注册 ， 则 只 能 破解 4 位 密码 。 

使 用 该 工具 恢复 Excel 文 档 的 具体 操作 步骤 如 下 。 

步骤 01: 安装 并 运行 “办 公文 件 密码 恢复 程序 ”的 主 程序 ， 即 可 打开 “办 公文 件 密码 恢复 程序 ” 主 窗口 ， 如 图 4-77 所 示 。 


步骤 02: 在 工具 栏 中 单 击 “ 打 开 ” 按 钮 区 ， 在 “打开 ”′” 对 话 框 中 选择 需要 破解 的 EXxcel 工 作 短 ， 单 击 “ 打 开 ” 按 钮 ， 即 可 在 “办 
公文 件 密码 恢复 程序 ”窗口 看 到 选择 的 Excel 文 件 ， 如 图 4-78 所 示 。 
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图 4-77 “办 公文 件 密码 恢复 程序 ”窗口 


ХАН ЕЕ ЕНТ 2.0 Ж 
АА (ко фиш) 1217 (Е) ER üm) 


е Es № Ө 


Оз MDocungents and Ssettings*ÁAndministr от BI ibl LS S556. к 
-ЖЕІН T S BER E Sn pe У CHER EE SU ET TE EE IDE ЭН) 
№ 01234 БАТ Г 空格 


Е 0 оор] 


-RETH 


gens МО [1 ча 5 Че 


AU zl0-5-6 [PF] 11:18 
4478 选择 的 Excel 文 件 


步骤 03: 在 其 中 设置 密码 组 合 的 字符 、 密 码 长 度 ， 单 击 “ 开 始 恢复 ”按钮 ， 即 可 开始 破解 ， 如 图 4-79 所 示 。 如 果 可 以 找到 密码 ， 
即 可 看 到 “恢复 成 功 ” 提 示 框 ， 在 其 中 可 以 看 到 该 Excel 文 档 的 密码 ， 如 图 4-80 所 示 。 
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图 4-79 ”开始 破解 密码 操作 
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43 ”上 压缩 文件 密码 攻防 


压缩 文件 可 以 节省 大 量 的 磁盘 空间 ， 所 以 压缩 文件 的 安全 也 很 重要 。 确 保 压 缩 文 件 安全 最 常用 的 方法 是 给 压缩 文件 添加 密码 ， 只 
有 在 知道 密码 的 前 提 下 ， 才 能 进行 解压 和 浏 史 压 缩 文件 ， 从 而 可 以 确保 文件 的 安全 。 


4.3.1 WIinRAR 自 身 的 口令 加 密 


WinRAR 是 一 蒜 晚 于 WinZip 推 出 的 高 效 压缩 软件 ， 其 不 但 压缩 比 、 操 作 方 法 都 较 WinZip 优 越 ， 而 且 能 兼容 ZIP 压 缩 文件 ， 可 以 支 
持 RAR、ZIP、ARJ、CAB 等 多 种 压缩 格式 ， 并 且 可 以 在 压缩 文件 时 设置 密码 。 具 体 的 操作 步骤 如 下 。 

步骤 01: 用 鼠标 右 击 需 要 压缩 并 加 密 的 文件 ， 在 快捷 菜单 中 选取 “添加 到 压缩 文件 ”选项 ， 在 “压缩 文件 名 和 参数 ”对 话 框 中 可 
设置 压缩 文件 的 名 称 及 压缩 格式 ， 如 图 4-81 所 示 。 

步骤 02: 蛙 击 “设置 密码 ”按钮 ， 即 可 打开 “输入 密码 ”对 话 框 ， 如 图 4-82 所 示 。 在 其 中 输入 目 己 的 密码 后 ， 连 续 单 击 “ 确 
定 ” 按 钮 ， 即 可 生成 加 密 的 RAR 文 件 。 
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图 4-81 设置 压缩 选项 
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图 4-82 “输入 密码 ”对 话 框 


4.3.2 КАК Password Recovery za 
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需要 解除 密码 的 RAR 文 件 ， 选 择 破 解 方式 并 在 相应 选项 卡 中 设置 其 选项 ， 单 击 start 按 钮 ， 即 可 开始 破解 。 
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图 4-83 КАК Password Recovery Е В 0 


44 多 媒体 文件 密码 攻防 


Private Pix 是 一 蒜 功能 强大 的 多 媒体 加 密 工 具 ， 也 支持 对 音频 文件 或 视频 文件 进行 加 密 ， 为 用 尸 提 供 了 更 全 面 的 功能 。Private 
Pix 提 供 了 简单 易 用 的 界面 来 对 图 片 进行 管理 、 加 密 和 浏览 。 让 用 户 在 得 看 图 片 文件 的 同时 还 能 对 图 片 进行 加 密 ， 并 且 具 有 两 种 类 型 
的 加 密 方式 。 


使 用 Private Pix 对 文件 进行 加 密 的 具体 操作 步骤 如 下 。 


步骤 01: 运行 Private Pix 软 件 弹 出 First Run of Private Pix (tm) 界面 ， 在 Create a Password 文 本 框 中 应 输入 相应 的 口令 。 由 
于 是 第 一 次 使 用 ， 所 以 要 创建 一 个 口令 ， 如 图 4-84 所 示 。 
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图 4-84 “First Run of Pix(tm)" ЖИ 


步骤 02: 创建 口令 完成 后 ， 单 击 OK 按 钮 ， 即 可 打开 Private Pix (tm) 对 话 框 ， 在 其 中 查看 软件 信息 并 填写 注册 内 容 ， 如 图 4-85 
所 示 。 若 无 法 获取 注册 码 ， 则 不 能 完成 相应 注册 时 ， 只 可 免费 试用 一 个 月 。 
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图 4-85 “Private Pix(tm)” 对 话 框 


步骤 03: 根据 需要 ， 这 里 不 进行 软件 注册 操作 ， 则 单 击 Run Private Pix in DEMO Mode 按 钮 ， 即 可 进入 Private Pix (tm) = 


口 ， 如 图 4-86 所 示 。Private Pix 加 密 工具 主要 由 显示 窗口 和 控制 窗口 两 部 分 组 成 。 


步骤 04: 在 左边 显示 窗口 的 资源 管理 器 中 选择 要 加 密 的 多 媒体 文件 。 如 果 不 设 置 密 钥 ， 则 使 用 默认 密 钥 。 因 为 这 里 要 设置 密 钥 ， 


所 以 选择 Settings 选 项 卡 ， 如 图 4-87 所 示 。 


步骤 05: 在 Encryption Settings 栏 目 中 ， 从 Type 下 拉 列 表 中 选择 一 种 文件 加 密 的 类 型 并 单 击 Filename Encrypt Key 选 项 右 侧 的 
密码 处 ， 会 出 现 一 个 按钮 声 ， 单 击 此 按钮 ， 即 可 弹出 Enter Password 对 话 框 ， 如 图 4-88 所 示 。 输 入 之 前 设 定 的 密码 ， 密 码 正 确 会 弹 


出 Change Password 对 话 框 ， 在 其 中 输入 需要 修改 的 口令 ， 如 图 4-89 所 示 。 


步骤 06: 蛙 击 OK 按钮 ， 即 可 弹出 Private Pix 提 示 框 ， 蛙 击 “ 确 定 ” 按 钮 ， 口 令 修改 成 功 ， 如 图 4-90 所 示 。 


步骤 07: 若 想 改变 管理 密码 ， 则 在 Administration Settings 栏 目 中 单 击 Change Password 选 项 右 侧 的 密码 处 ， 会 出 现 一 个 按钮 
|， 单 击 此 按钮 ， 即 可 弹出 Enter Password 对 话 框 ， 如 图 4-91 所 示 。 输 入 之 前 设 定 的 密码 ， 密 码 正确 会 弹出 Change Password 对 话 


框 ， 在 其 中 输入 需要 修改 的 口令 ， 如 图 4-92 所 示 。 
步骤 08: 单 击 OK 按 钮 ， 即 可 弹出 Private Pix 提 示 框 ， 提 示 口 令 修改 成 功 ， 如 图 4-93 所 示 。 
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图 4-86 Private Pix 的 主 窗口 
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图 4-89 Change Password 对 话 框 
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图 4-90 Private Pix 提 示 框 
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图 4-91 Enter Password] T£ JE 


图 4-92 Change Password Г РЕНЕ 


图 4-93 Private Pix 提 示 框 


步骤 09: 返回 Private Pix 主 窗口 ， 在 主 窗口 左 侧 选 择 要 加 密 的 文件 ， 如 图 4-94 所 示 。 单 击 工具 栏 的 加 密 按钮 总之 后 ， 所 选 的 文件 


束 可 以 锐 加 密 了 ， 如 图 4-95 所 示 。 可 以 看 出 ， 加 密 后 的 文件 由 原来 的 绿色 变 成 了 红色 。 
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步骤 10: 解密 方法 与 加 密 亡 法 类 似 。 用 户 先 选择 要 进行 解密 的 文件 ， 如 果 要 解密 的 文件 与 当前 密 钥 不 一 样 ， 则 移 修改 当前 的 密 钥 
或 单 击 工具 栏 上 的 解密 按钮 图 ， 这 样 ， 被 加 密 的 文件 就 可 以 被 恢复 原状 了 。 


45 “系统 密码 攻防 


4.5.1 使 用 Securelt Pro 给 系统 桌面 加 把 超级 锁 

为 了 避免 别人 趁机 乱 动 用 自己 的 计算 机 ， 用 户 可 使 用 桌面 锁 软件 Securelt Pro 来 解决 这 个 问题 ， 该 软件 可 以 让 任何 人 (包括 自 
с) 都 无 法 在 不 输入 正确 密码 的 情况 下 使 用 计算 机 。 

(1) 生成 后 门口 令 


在 开始 使 用 Securelt Pro 前 ， 因 为 软件 为 了 防止 用 尸 志 记 了 设置 的 进入 口令 ,需要 先 填 一 些 基 本 信息 ， 并 根据 这 些 信息 自动 生成 
一 个 后 门口 令 ， 用 于 万 不 得 已 时 登录 使 用 。 


具体 的 操作 步骤 如 下 。 


步骤 01: 下 载 并 安装 Securelt Pro 软件， 双击 蝎 面 上 的 Securelt Pro 应 用 程序 图 标 ， 即 可 打开 Securelt Pro-End User s 
License Agreement 对 话 框 ， 认 真 阅读 一 下 Securelt Pro 软 件 的 使 用 许可 协议 ， 如 图 4-96 所 示 。 


步骤 02: 2))%Үеѕ, agree to be bound by the terms of the License Agreement 单 选项 ， 单 击 Continue 按 钮 ， 即 可 打开 
Securelt Pro First Time Initialization-1 对 话 框 ， 在 其 中 查看 首次 初始 化 的 基本 信息 ， 如 图 4-97 所 示 。 
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图 4-96 End User s License Agreement T+ JE 
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8497 First Time Initialization-1 对 话 框 


步骤 03: 单 击 Next 按 钮 ， 即 可 打开 Securelt Pro First Time Initialization-2 对 话 框 ， 在 其 中 可 以 填写 注册 信息 ， 如 图 4-98 所 
77. 


步骤 04: 单 击 Next 按 钮 ， 即 可 打开 Securelt Pro First Time Initialization-3 对 话 框 ， 用 于 查看 自动 生成 的 一 个 后 门口 令 ， 以 便于 
帮助 用 户 登 录 时 使 用 ， 如 图 4-99 所 示 。 
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图 4-99 First Time Initialization-3 对 话 杠 


步骤 05: 单 击 Next 按 钮 ， 即 可 打开 Securelt Pro First Time Initialization-4 对 话 框 ， 要 求 用 户 在 文本 框 中 填写 前 面 自 动 生成 的 一 
个 后 门口 令 ， 如 图 4-100 所 示 。 
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图 4-101 First Time Initialization-5 对 话 框 


Іші: ^ Hemeber this. because Циапише will nnt release this 


步骤 06: 单 击 Next 按 钮 ， 即 可 打开 Securelt Pro First Time Initialization-5 对 话 框 ， 如 图 4-101 所 示 。 单 击 右 下 角 的 ， 按钮 ， 即 
可 弹出 Securelt Pro 提 示 杠 ， 提 示 已 输入 的 信息 不 能 更 改 ， 是 否 继 续 。 单 击 “ 是 ”按钮 ， 即 可 完成 整个 初始 化 操作 ， 如 图 4-102 所 
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F" finalized. Ensure that everything you have entered is correct. You 
will not be able to change this information later. 


Are you sure you wish to proceed? 


图 4-102  Securelt Ргоф zk JE 


在 因 遗 忘 密码 而 被 锁定 时 ， 如 果 想 使 用 后 门口 令 ， 可 使 用 Shift+Ctl 组 合 键 并 右 击 SecutelIt Pto 程 序 主 界面 左上 角 的 锁定 标记 前 。 
(2) 设置 登录 口令 


在 开始 使 用 Securelt Pro 之 前 ， 先 要 设置 进入 的 口令 。 这 样 才能 在 以 后 利用 这 个 口令 来 锁定 计算 机 ， 友 之 用 来 开局 这 个 锁 。 有 具体 
的 操作 步骤 如 下 。 


步骤 01: 再 次 双击 桌面 上 的 Securelt Pro 应 用 程序 图 标 ， 弹 出 Securelt Pro 窗 口 ， 在 其 中 可 以 设置 进入 时 的 口令 ， 如 图 4-103 所 
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图 4-103 Зесшеп Рой U 


步骤 02: 在 Password 右 侧 的 文本 框 中 输入 口令 ， 单 击 Lock 按 钮 ， 即 可 弹出 Securelt Pro-Password Verification Required 对 话 
框 ， 在 验证 密码 文本 框 中 输入 相同 口令 后 ， 融 可 以 将 计算 机 进入 锁定 状态 ， 如 图 4-104 所 示 。 
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图 4-104 Password Verification Required 3} +£ НЕ 


(3) 如 何 解锁 


在 锁定 状态 下 ， 他 人 只 能 在 桌面 上 看 到 一 个 Securelt Pro-Locked 窗 口 ， 其 他 信息 (如 原 有 程序 ) 都 呈现 为 不 可 见 状态 。 任 何人 
都 必须 输入 正确 口令 并 单 击 Unlock 按 钮 才能 进入 计算 机 。 他 人 可 以 给 将 计算 机 设 定 为 锁定 状态 的 用 户 留言 ， 当 用 户 回 到 计算 机 后 ， 
束 能 查看 这 些 留言 ， 如 图 4-105 所 示 。 
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45 ”系统 密码 攻防 


4.5.1 使 用 Securelt Pro 给 系统 桌面 加 把 超级 锁 

为 了 避免 别人 趁机 乱 动 用 自己 的 计算 机 ， 用 户 可 使 用 桌面 锁 软 件 Sgecurelt Pro 来 解决 这 个 问题 ， 该 软件 可 以 让 任何 人 (ЕЕ 
с) 都 无 法 在 不 输入 正确 密码 的 情况 下 使 用 计算 机 。 

(1) 生成 后 门口 令 


在 开始 使 用 Securelt Pro 前 ， 因 为 软件 为 了 防止 用 尸 志 记 了 设置 的 进入 口令 ， 需要 先 填 一 些 基 本 信息 ， 并 根据 这 些 信息 自动 生成 
一 个 后 门口 令 ， 用 于 万 不 得 已 时 登录 使 用 。 


具体 的 操作 步骤 如 下 。 


步骤 01: 下 载 并 安装 Securelt Prok, УБА EBRSySecurelt Pro 应 用 程序 图 标 ， 即 可 打开 Securelt Pro-End User s 
License Agreement 对 话 框 ， 认 真 阅读 一 下 Securelt Pro 软 件 的 使 用 许可 协议 ， 如 图 4-96 所 示 。 


步骤 02: 4JikYes, agree to be bound by the terms of the License Agreement 单 选项 ， 单 击 Continue 按 钮 ， 即 可 打开 
Securelt Pro First Time Initialization-1 对 话 框 ， 在 其 中 查看 首次 初始 化 的 基本 信息 ， 如 图 4-97 所 示 。 
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图 4-97 First Time Initialization-1 对 话 杠 


步骤 03: 单 击 Next 按 钮 ， 即 可 打开 Securelt Pro First Time Initialization-2 对 话 框 ， 在 其 中 可 以 填写 注册 信息 ， 如 图 4-98 所 
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步骤 04: 单 击 Next 按 钮 ， 即 可 打开 Securelt Pro First Time Initialization-3 对 话 框 ， 用 于 查看 自动 生成 的 一 个 后 门口 令 ， 以 便于 


帮助 用 户 登 录 时 使 用 ， 如 图 4-99 所 示 。 
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heck dan. 


Write this code down and Кеср it in a sale place. 


图 4-99 First Time Initialization-3 对 话 框 


步骤 05: 单 击 Next 按 钮 ， 即 可 打开 Securelt Pro First Time Initialization-4 对 话 框 ， 要 求 用 户 在 文本 框 中 填写 前 面 自 动 生成 的 一 
个 后 门口 令 ， 如 图 4-100 所 示 。 
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图 4-101 First Time Initialization-5 对 话 框 


步骤 06: 单 击 Next 按 钮 ， 即 可 打开 Securelt Pro First Time Initialization-5 对 话 框 ， 如 图 4-101 所 示 。 单 击 右 下 角 的 ， 按钮， 即 
可 弹出 Securelt Pro 提 示 框 ， 提 示 已 输入 的 信息 不 能 更 改 ， 是 否 继续 。 单 击 “ 是 ”按钮 ， 即 可 完成 整个 初始 化 操作 ， 如 图 4-102 所 


7Jvo 


№ The information you have entered cannot be changed once 
finalized. Ensure that everything you have entered is correct. You 
will not be able to change this information later. 


Are you sure you wish to proceed? 


so | 


94-102 ”Securelt Pro 提 示 框 


注意 
在 因 遗 忘 密码 而 被 锁定 时 ， 如 果 想 使 用 后 门口 令 ， 可 使 用 Shift+Ctl 组 合 键 并 右 击 SecutelIt Pro 程序 主 界面 左上 角 的 锁定 标记 前 。 
(2) 设置 登录 口令 


在 开始 使 用 Securelt Pro 之 前 ， 先 要 设置 进入 的 口令 。 这 样 才能 在 以 后 利用 这 个 口令 来 锁定 计算 机 ， 友 之 用 来 开局 这 个 锁 。 上 有 具体 
的 操作 步骤 如 下 。 


步骤 01: 再 次 双击 桌面 上 的 Securelt Pro 应 用 程序 图 标 ， 弹 出 Securelt Pro 窗 口 ， 在 其 中 可 以 设置 进入 时 的 口令 ， 如 图 4-103 所 


图 4-103 Securelt Pro @ U 


步骤 02: 在 Password 右 侧 的 文本 框 中 输入 口令 ， 单 击 Lock 按 钮 ， 即 可 弹出 Securelt Pro-Password Verification Required 对 话 
框 ， 在 验证 密码 文本 框 中 输入 相同 口令 后 ， 融 可 以 将 计算 机 进入 锁定 状态 ， 如 图 4-104 所 示 。 


нң. OSO 
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图 4-104 Password Verification Required 3} +£ НЕ 


(3) 如 何 解锁 


在 锁定 状态 下 ， 他 人 只 能 在 桌面 上 看 到 一 个 Securelt Pro-Locked 窗 口 ， 其 他 信息 (如 原 有 程序 ) 都 呈现 为 不 可 见 状态 。 任 何人 
都 必须 输入 正确 口令 并 单 击 Unlock 按 钮 才能 进入 计算 机 。 他 人 可 以 给 将 计算 机 设 定 为 锁定 状态 的 用 户 留言 ， 当 用 户 回 到 计算 机 后 ， 
束 能 查看 这 些 留言 ， 如 图 4-105 所 示 。 


тоц can leave a message lor the user who lacked Securelt Pra below: 


Mame: | 


Message 


Clear | Save | 


4.5.2 ”系统 全 面 加 密 大 师 PC Security 


系统 级 的 加 密 工 具 PC Security 可 以 帮助 用 户 锁定 Internet、 任 何 文件 与 目录 、 任 何 磁盘 分 区 、 系 统 等 。 
(1) 锁定 驱动 器 


使 用 PC Security 锁 定 驱 动 器 是 很 简单 的 事情 。 以 锁定 存储 有 重要 文件 的 D 盘 为 例 ， 在 PC Security 安 六 完毕 后 ， 在 “我 的 电 
脑 ” 窗 口中 右 击 D 盘 盘 符 ， 从 快捷 菜单 中 选择 PC Security 一 Lock 选 项 ， 即 可 完成 对 D 盘 的 锁定 操作 ， 如 图 4-106 所 示 。 
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图 4-106 ЗОЖ 


(2) 锁定 系统 


PC Security 可 以 完成 多 种 方式 的 系统 锁定 ， 下 面 逐 一 进行 讲述 。 


1) 即时 锁定 系统 。 如 果 需 要 暂时 离开 计算 机 ， 为 防止 他 人 恶意 操作 目 己 的 计算 机 ， 融 可 以 锁定 自己 的 计算 机 系统 。 有 具体 的 操作 


步骤 如 下 。 


步骤 01 : 


步骤 02: 


7Jvo 


步骤 03 : 


步骤 04: 


入 ”对 话 框 ， 


下 载 并 安装 PC Security 软 件 ， 双 击 桌面 上 的 PC Security 应 用 程序 图 标 ， 即 可 弹出 输入 密码 窗口 ， 如 图 4-107 所 示 。 


在 Password 文 本 框 中 输入 正确 的 登录 密码 (默认 为 Security) ， 即 可 登录 PC Security 操 作 管理 界面 ， 如 图 4-108 所 


在 登录 操作 管理 界面 后 ， 单 击 9ystem Lock (系统 锁定 ) 链接 ， 即 可 进入 系统 锁定 设置 界面 ， 如 图 4-109 所 示 。 


单 击 右 侧 Lock the Computer Now 按 钮 ， 当 前 系统 将 目 动 切 换 到 类 似 屏 幕 保护 的 状态 ， 在 屏幕 窗口 中 有 一 个 “密码 输 
只 有 输入 了 PC security 的 登录 密码 才能 恢复 系统 的 正音 使 用 状态 。 


图 4-107 输入 密码 窗口 
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24-108 РС Security 操 作 管 理 界 面 


2) 启动 时 锁定 系统 。 采 用 启动 时 锁定 系统 功能 ， 可 彻底 解决 Windows 7 系统 不 需 密码 就 能 登录 系统 的 安全 隐患 。 在 功能 启用 
后 ， 当 用 户 登录 Windows 7 系统 时 ， 在 “登录 ”对 话 框 中 单 击 “ 确 定 ” 按 钮 ， 将 会 自动 进入 类 似 屏 幕 保护 状态 的 PC Security 登 录 状 
人 态 。 使 用 方法 很 简单 ， 只 需 单 击 “ 系 统 锁定 ”界面 中 的 Lock on startup 选 项 即 可 ， 如 图 4-110 所 示 。 
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图 4-109 ”系统 锁定 设置 界面 


3) 指定 时 间 锁 系统 。 若 勾 选 Lock After " in-active minutes 选 项 ， 在 数字 栏 中 输入 所 需 的 数字 后 ，PC Security 束 会 自动 在 指 
定 的 时 间 无 法 活动 后 将 系统 锁定 ， 如 图 4-111 所 示 。 
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图 4-111 设置 Lock After '' in-active minutes 24 


Д) 锁定 活动 窗口 。 如 果 大 家 在 运行 程序 时 来 了 一 个 朋友 要 借用 一 下 计算 机 ， 这 个 时 候 往 往 不 方便 将 正在 运行 的 程序 关闭 ， 但 又 
不 想 让 朋友 打开 正在 运行 的 程序 。 这 个 看 起 来 很 麻烦 的 问题 ， 通 过 PC security 将 会 很 容易 地 家 解决 。 具 体 的 操作 步骤 如 下 。 


步骤 01: 在 登录 操作 管理 界面 中 单 击 Windows Lock (РАНЕ) 链接 项 ， 即 可 打开 窗口 锁定 设置 界面 ， 如 图 4-112 所 示 。 
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图 4-112 窗口 锁定 设置 界面 


步骤 02: 单 击 窗口 上 | 按钮 ， 即 可 弹出 “Add a Title Search String (添加 一 个 搜索 标题 ) ”对 话 框 ， 再 单 击 Window 
Title 右 侧 下 三 角 按 钮 ， 在 当前 运行 程序 列表 中 选择 要 锁定 的 程序 ， 如 图 4-113 所 示 。 单 击 OK 按 钮 ， 返 回 “窗口 锁定 ”设置 界面 。 


Fick a title or an already existing vanidow from the 
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图 4-113 Add a Title Search String] tE ДЕ 


步骤 03: 在 窗口 锁定 设置 界面 中 勾 选 Disable (禁用 ) ‚ Invisible (不 可 见 ) 等 所 需 选 项 后 ， 单 击 Relock Window 按 钮 ， 即 可 打 
开 窗 口 锁定 窗口 。 此 时 可 看 到 选中 的 程序 列表 ， 从 其 下 方 状态 列表 中 可 以 看 出 当前 程序 为 禁止 使 用 状态 ， 如 图 4-114 上 所 示 。 
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图 4-114 显示 锁定 的 窗口 


5) 锁定 程序 。 如 果 系 统 中 有 一 些 很 重要 的 程序 不 万 便 被 其 他 人 使 用 ， 也 可 以 使 用 PC security 来 完成 程序 的 锁定 。 在 登录 操作 管 
理 界面 中 单 击 Program Lock (EFWE) 链接 项 ， 即 可 打开 程序 锁定 设置 界面 。 通 过 展开 目录 法 选中 需 锁定 的 程序 ， 单 击 中 间 的 锁 
定 方式 (只 读 或 完全 ) ， 单 击 Lock 按 钮 ， 即 可 锁定 程序 。 


(3) 验证 加 密 效果 


完 葛 锁 定 目录 对 于 非法 用 尸 有 没有 访问 约束 力 呢 ? 这 里 通过 实例 介绍 一 下 。 先 使 用 PC Security 将 服务 器 的 D 盘 下 的 IMA 目 录 锁 
定 ， 通 过 局 域 网 中 另 一 台 计 算 机 对 服务 器 进行 木马 控制 ， 此 时 会 上 友 现 远程 控制 对 于 服务 器 中 锁定 的 IMA 目 录 无 法 读 取 。 


如 果 有 恶意 用 户 想 通 过 网 络 将 PC Security 乞 载 后 进行 信息 历 取 ， 则 他 们 将 会 非常 失 诅 ， 因 为 PC Security ЕШ AN BI ЕРЕ! 
载 。 


46 ”其 他 密码 攻防 工具 


下 面 将 介绍 其 他 几 蒜 常见 的 密码 攻防 工具 ， 如 加 密 精 灵 、 暴 力 破 解 MD5、 私 人 磁盘 等 。 


461 “加 密 精 灵 ” 加 密 工 具 


“加 密 精灵 ”是 一 蒜 加 密 速 度 极 快 且 功能 强大 的 国产 加 密 工 具 ， 可 用 于 加 密 任何 格式 的 文件 ， 几 乎 集成 了 当前 所 有 加 密 工 具 的 功 


其 加 密 的 具体 步骤 如 下 。 


步骤 01: 运行 “加 密 精 灵 ” 应 用 程序 ， 即 可 弹出 “加 密 精灵 ”的 主 窗口 ， 如 图 4-115 所 示 。 
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图 4-115 “加 密 精 灵 ” 主 窗口 


步骤 02: 在 “加 密 精 灵 ” 主 窗口 中 选择 要 加 密 的 文件 。 单 击 “ 加 密 ” 按 钮 ， 即 可 弹出 “设置 操作 信息 ”对 话 框 ， 人 在 “输入 密 
码 ” 文 本 框 中 输入 密码 ， 即 可 开始 加 密 ， 密 码 的 范围 在 8~128 个 字符 ， 如 图 4-116 所 示 。 


589 


64-116 “设置 操作 信息 ”对 话 框 


步骤 03: 加 密 完 成 后 在 已 加 密 文件 夹 列表 中 可 以 查看 到 已 经 加 密 的 文件 夹 ， 如 图 4-117 所 示 。 


解密 的 过 程 与 加 密 过 程 相似 ， 在 文件 列表 里 选择 要 解密 的 文件 之 后 ， 单 击 工具 栏 上 的 “解密 ”按钮 ， 即 可 打开 “设置 操作 信 
息 ” 对 话 框 ,在 “确认 密码 ”文本 框 中 输入 密码 ， 即 可 开始 解密 ， 如 图 4-118 所 示 。 
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图 4-117 已 加 密 的 文件 


图 4-118 “设置 操作 信息 ”对 话 框 


462 ”暴力 破解 MD5 


MD5 (Message Digest Algorithm ， 消 息 摘 要 算法 第 五 版 ) 是 计算 机 安全 领域 广泛 使 用 的 一 种 散 列 函数 ， 用 以 提供 消息 的 完整 
性 保护 。 其 作用 是 让 大 容量 信息 在 用 数字 签名 软件 签署 私人 密 钥 前 被 “压缩 ”成 一 种 保密 的 格式 。 在 线 破解 MD5 加 密 的 具体 操作 步 
又 如 下 。 


(1) 本 地 破解 MD5 
现在 破解 MD5 加 密 的 软件 有 很 多 ， 下 面 将 为 大 家 介绍 一 款 名 叫 PKmd5 的 软件 ， 这 个 工具 简单 易学 ， 很 适合 初学 者 使 用 。 


使 用 PKmd5 可 以 很 方便 地 将 一 组 字符 用 MD5 方 式 完成 加 密 ， 具 体 的 操作 方法 为 : 先 打 开 PKmd5， 如 图 4-119 所 示 。 单 击 “MD5 
加 密 ” 按 钮 进入 MD5 加 密 功能 ， 在 “MD5 加 密 ” 下 方 的 文本 框 中 输入 要 转换 的 字符 ， 单 击 “ 一 键 加 密 ”按钮 ， 加 密 后 的 密 文 将 显示 
在 “加 密 效果 ”文本 框 中 ， 如 图 4-120 所 示 。 


图 4-119  *PKmd5" +в 


49BA59ABBES56EF057 
暂 口 支持 16 位 加 密 
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图 4-120 MD5J7m & 


使 用 MD5 进 行 密码 破解 的 具体 操作 步骤 如 下 。 


步骤 01: 双击 PKmd5.exe， 即 可 打开 PKmd5 主 窗口 ， 如 图 4-121 所 示 。 


步骤 02: 单 击 “MD5 解 密 ” 按 钮 ， 即 可 打开 MD5 解 密 功 能 ， 在 “MD5 解 密 ” 下 面 的 文本 框 中 输入 要 破解 的 MD5 密 码 
(如 “49BA59ABBE56E057”) ， 并 选择 “急速 破解 ” 单 选项 ， 如 图 4-122 所 示 。 


图 4-121 “PKmd5” 主 窗口 
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94-122 ”输入 MD5 密 文 


步 又 03: 在 设置 完毕 后 单 击 “ 一 键 解密 ”按钮 ， 即 可 开始 破解 MD5 密 码 ， 稍 等 片刻 即 可 出 现 破解 结果 ， 如 图 4-123 所 示 。 
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图 4-123 ”破解 结果 


(2) 在 线 破解 MD5 


相对 于 本 地 密码 破解 ， 网 上 在 线 破解 丈 容 易 多 了 。 现 在 也 有 很 多 能 够 在 线 破 解 MD5 的 网 站 ， 如 http://www.xmd5.org/ 束 是 个 
MD5 在 线 破 解 网 站 。 


步骤 01: 打开 Internet Explorer 浏 览 器 ， 在 地 址 栏 中 输入 http://www.xmd5.org/， 按 回 车 键 后 ， 即 可 打开 XM D5 网 站 。 将 要 破 
解 的 MD5 密 文 (如 “407de5e0d85a21d317de8de f45fa331b" ) 输入 到 输入 框 中 ， 如 图 4-124 所 示 。 


步骤 02: 单 击 “MD5 解 密 ” 按 钮 ， 即 可 开始 破解 密码 。 等 待 破解 完成 后 ， 即 可 打开 md5 reverse 页 面 ， 在 其 中 查看 破解 的 结果 
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94-124 输入 MD5 密 文 
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图 4-125 ”破解 后 的 结果 


4.6.3 FB "АЛЕ" Б БЕКУ 


“私人 磁盘 ”软件 是 一 蒜 极 好 的 文件 和 文件 来 加 密 保护 工具 ， 能 够 在 各 个 硬盘 分 区 中 创建 加 密 区 域 ， 并 将 加 密 区 虚拟 成 一 个 磁盘 
分 区 以 供 使 用 。 访 虚拟 的 磁盘 分 区 和 实际 的 磁盘 分 区 完全 一 样 。 用 户 可 以 在 其 中 仓 放 文件 资料 ， 也 可 以 将 软件 、 源 戏 安 委 在 里 面 。 


(1) “私人 磁盘 ”的 创建 


“私人 磁盘 ”为 绿色 软件 ， 下 载 并 解压 后 ， 直 接 双击 即 可 进入 主 操作 界面 执行 相应 的 操作 ， 包 括 创建 、 删 除 、 打 开 、 修 改 、 关 闭 
私人 磁盘 等 。 


创建 私人 磁盘 的 具体 操作 步骤 如 下 。 


步骤 01: 先 运 行 “ 私 人 磁盘 ”程序 ， 因 为 初始 密码 为 空 ， 所 以 无 需 输 入 密码 ， 直 接 单 击 “ 确 定 ” 按 钮 即 可 进入 ， 如 图 4-126 所 
示 。 如 果 已 经 设置 了 密码 则 需要 输入 相应 的 密码 ， 不 然 会 出 现 出 错 提 示 ， 无 法 进入 该 系统 。 


Ө 私人 磁盘 专业 版 


xx 3p Bb RD E A d 


请 输入 密码 | | 


图 4-126 ”运行 “私人 磁盘 ” 


步骤 02: 进入 后 可 以 看 到 一 个 微型 的 主 界面 ， 如 图 4-127 所 示 。 在 其 中 列 出 了 现 有 的 磁盘 分 区 。 单 击 标题 栏 的 “ 变 ” 按 钮 ， 可 以 
切换 到 完整 界面 ， 如 图 4-128 所 示 。 
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64-127 微型 的 主 界 面 


步 又 03: 和 微型 界面 相 比 ， 完 整 界面 多 了 “修改 用 户 密 码 ” 和 “操作 选择 ”两 大 栏目 。 如 果 用 户 想 修改 用 户 密 码 ， 可 以 在 “修改 
用 尸 密码 ”栏目 中 完成 操作 。 


步 又 04: 创建 私人 磁盘 。 先 在 私人 磁盘 文件 列表 框 中 单 击 选择 准备 在 哪个 分 区 上 创建 私人 磁盘 (一 个 分 区 上 只 能 创建 一 个 ， 如 果 
创建 多 个 会 出 现 出 错 提 示 ) ， 单 击 “ 操 作 选 择 ” 栏 中 的 “创建 私人 磁盘 ”按钮 。 


步骤 05: 在 很 得 的 时 间 内 ， 访 软件 系统 融会 完成 私人 磁盘 的 创建 工作 。 在 刚才 选 定 的 磁盘 分 区 的 郑 标 右 侧 会 出 现 一 个 “六 ”形状 
的 标志 ， 如 图 4-129 所 示 。 
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由 于 私人 磁盘 空间 是 从 各 个 磁盘 分 区 中 的 剩余 空间 中 分 离 出 来 的 ， 私 人 磁盘 的 个 数 和 大 小 受 实际 分 区 和 所 剩 空 间 的 限制 。 


步骤 06: 选中 要 打开 的 私人 磁盘 ， 单 击 “ 操 作 选 择 ” 桩 中 的 “打开 私人 磁盘 ”按钮 或 打开 “我 的 电脑 ”， 残 会友 现 多 出 了 一 个 磁 
盘 分 区 ， 该 磁盘 分 区 | 的 卷 标 和 源 磁 盘 分 区 的 卷 标 一 致 ， 如 图 4-130 所 示 。 
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图 4-130 dA A 8$ XT 


步骤 07: АЛЕ е а, УПА, РЕ "RRB CPÉREDBRABICTHITO; 也 可 以 先 企 “私人 磁盘 文件 询 
表 ” 中 对 应 的 位 置 单 击 ， 再 单 击 “ 打 开 私 人 磁盘 ”按钮 ; 或 双击 相应 盘 竺 ， 程 序 残 会 打开 对 应 的 私人 磁盘 文件 ， 并 虚拟 一 个 磁盘 分 区 
供 使 用 ， 文 件 操作 方法 和 普通 磁盘 相同 ， 只 是 不 能 进行 “格式 化 操作 ” 。 


步骤 08: 为 了 让 该 私 人 磁盘 更 符合 需要 ， 可 对 它 进 行 配 置 。 单 击 “ 私 人 磁盘 设置 ”按钮 ， 即 可 弹出 “私人 磁盘 设置 ”对 话 框 ， 如 
图 4-131 所 示 。 


私人 磁盘 设置 
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+ 创建 私人 磁盘 文件 时 不 设置 密码 
C 人 多 许 各 个 私人 磁盘 分 别 设置 密码 
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图 4-131 “私人 磁盘 设置 ”对 话 框 


步骤 09: 在 “ 盘 符 设置 ”部 分 可 将 私人 磁盘 的 盘 符 设置 为 使 用 菏 个 固定 盘 答 ， 如 : “U”; 选择 该 项 则 每 次 打开 不 同 分 区 的 私人 
磁盘 文件 时 都 使 用 所 定 盘 符 ， 即 同一 时 刻 只 能 打开 一 个 私人 磁盘 。 如 果 要 企 私人 磁盘 中 安 委 软件 或 游戏 ， 则 可 使 用 固定 盘 竺 ， 或 由 系 
统 目 动 分 配 ， 以 同时 打开 多 个 私人 磁盘 文件 。 打 开 时 将 由 程序 目 动 分 配 私人 磁盘 盘 符 。 


步骤 10: 如 果 将 “私人 磁盘 密码 设置 ”设置 为 “允许 各 个 私人 磁盘 分 别 设 置 密 码 ”， 则 在 创建 私人 磁盘 时 会 提示 输入 密码 。 如 果 
输入 密码 为 空 或 选择 取消 ， 则 视 为 不 使 用 密码 保护 。 设 置 密码 保护 的 私人 磁盘 在 打开 和 删除 时 也 都 会 提示 输入 密码 。 


这 样 ， 在 登录 私人 磁盘 软件 的 时 候 提 示 输 入 用 户 密 码 ， 而 具体 使 用 文件 又 需要 用 到 磁盘 密码 ， 这 样 该 私人 资料 融 有 双重 防护 了 ， 
并 且 可 以 随时 使 用 “修改 磁盘 密码 ”来 修改 选 定 的 私人 磁盘 文件 的 密码 。 同 样 ， 如 果 所 设置 的 新 密码 为 空 ， 则 视 为 取消 密码 保护 。 


(2) “私人 磁盘 ”的 删除 
如 果 要 删除 创建 的 私人 磁盘 ， 方 法 正好 和 创建 相反 。 具 体 的 操作 步骤 如 下 。 


步骤 01: 在 主 春 面 中 选择 将 删除 的 私人 磁盘 ， 单 击 操作 选择 部 分 的 “删除 私人 磁盘 ”按钮 ， 即 可 弹出 “确认 ”提示 框 ， 提 示 是 侣 


删除 ， 如 图 4-132 所 示 。 


图 4-132 “确认 ”提示 框 


步骤 02: 如 果 确 定 要 删除 则 蛙 击 “是 ”按钮 。 这 个 操作 会 删除 所 有 存在 私人 磁盘 里 的 文件 ， 所 以 一 定 要 谨 愤 。 将 私人 磁盘 删除 后 
打开 “我 的 电脑 ”时 ， 即 可 看 到 所 创建 的 私人 磁盘 已 经 消失 。 


步骤 03: 人 在 私人 磁盘 中 的 所 有 操作 都 与 普通 分 区 中 的 操作 相同 。 删 除 私 人 磁盘 中 的 文件 同样 要 经 过 “回收 站 ”。 


第 5 重病 毒 攻防 单 用 工具 


借助 一 款 黑客 工具 无 疑 可 以 使 “ 攻 城 略 地 ” 变 得 事半功倍 。 其 实在 众多 黑客 工具 中 ， 病 毒 与 木马 无 疑 是 黑客 们 的 至 爱 。 
Жа Жақ: 

- 病毒 知识 入 门 

:Restart 病 毒 与 U 盘 病毒 形成 过 程 曝光 

- VBS 脚 本 病毒 

- 宏 病 毒 与 邮件 病毒 防范 

- 全 面 防范 网 络 蠕虫 


. 快速 但 杀 木马 和 病毒 


51 ”病毒 知识 入 上 


目前 计算 机 病毒 企 形 式 上 赵 来 越 难以 辨别 ， 造 成 的 危害 也 日 丛 严重 ， 所 以 要 求 网 络 防毒 产品 在 技术 上 更 先进 ， 功 能 上 更 全 面 。 


5.1.1 ТЛА 


计算 机 病毒 是 一 个 小 程序 ， 一 般 计算 机 病毒 具有 如 下 几 个 共同 的 特点 。 


1) 程序 性 (可 执行 性 ) : 计算 机 病毒 与 其 他 合法 程序 一 样 ， 是 一 段 可 执行 程序 ， 但 它 不 是 一 个 完整 的 程序 ， 而 是 寄生 在 其 他 可 
执行 程序 上 ， 所 以 它 享 有 该 程序 所 能 得 到 的 权力 。 


2) 传染 性 : 传染 性 是 病毒 的 基本 特征 ， 计 算 机 病毒 会 通过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 到 未 被 感染 的 计算 机 。 病 毒 程序 代 
码 一 旦 进入 计算 机 并 航 执 行 ， 融 会 目 动 搜寻 其 他 符合 其 传染 条 件 的 程序 或 存储 介质 ， 确 定 目标 后 再 将 目 身 代码 插入 其 中 ， 实 现 目 我 每 
JB. 


3) Е: 一 个 编制 精巧 的 计算 机 病毒 程序 ， 进 入 系统 乙 后 一 般 不 会 马上 友 作 ， 可 以 在 一 段 很 长 时 间 内 隐藏 在 合法 文件 中 ， 对 
其 他 系统 进行 传染 ， 而 不 被 人 友 现 。 


Д) АЕ: 是 指 病 毒 因 某 个 事件 或 数值 的 出 现 ， 诱 使 病毒 实施 感染 或 进行 攻击 的 特性 。 


5) 破坏 性 : 系统 被 病毒 感染 后 ， 病 毒 一 般 不 会 立刻 友 作 ， 而 是 潜藏 在 系统 中 ， 等 条 件 成 熟 后 ， 便 会 友 作 ， 给 系统 市 来 严重 的 破 
坏 。 


6) 主动 性 : 病毒 对 系统 的 攻击 是 主动 的 ， 计 算 机 系统 无 论 及 取 多 么 严密 的 保护 措施 ， 痢 不 可 能 彻底 地 排除 病毒 对 系统 的 攻击 ， 
而 保护 措施 只 是 一 种 预防 的 手段 。 


7) 针对 性 : 计算 机 病毒 是 针对 特定 的 计算 机 和 特定 的 操作 系统 的 。 


5.1.2 ”病毒 的 3 个 基本 结构 


计算 机 病毒 本 身 的 特点 是 由 其 结构 决定 的 ， 所 以 计算 机 病毒 在 其 结构 上 有 其 共同 性 。 计 算 机 病毒 一 般 包 括 引 导 模 块 、 传 染 模 块 和 
表现 (破坏 ) 模块 三 大 功能 模块 ， 但 不 是 任何 病毒 都 包含 这 3 个 模块 。 传 染 模块 的 作用 是 负责 病毒 的 传染 和 扩散 ， 而 表现 (破坏) № 
块 则 负责 病毒 的 破坏 工作 ， 这 两 个 模块 各 包含 一 段 触 友 条 件 检 查 代码 ， 当 各 段 代码 分 别 检查 出 传染 和 表现 或 破坏 触 友 条 件 时 ， 病 毒 束 
会 进行 传染 和 表现 或 破坏 。 触 友 条 件 一 般 由 日 期 、 时 间 、 某 个 特定 程序 、 传 染 次 数 等 多 种 形式 组 成 。 


1) 对 于 寄生 在 磁盘 引导 局 区 的 病毒 ， 病 毒 引 导 程 序 占 有 了 原 系统 引导 程序 的 位 置 ， 并 把 原 系统 引导 程序 搬移 到 一 个 特定 的 地 
方 。 系 统一 启动 ， 病 毒 引 导 模 块 就 会 自动 地 载 入 内 存 并 获得 执行 权 ， 该 引导 程序 负责 将 病毒 程序 的 传染 模块 和 友 作 模块 浴 入 内 存 的 适 
当 位 置 ， 并 及 取 常 驻 内 存 拷 术 以 保证 这 两 个 模块 不 会 被 覆 蓄 ， 再 对 这 两 个 模块 设 定 某 种 激活 方式 ， 使 之 在 适当 时 候 获 得 执行 权 。 处 理 
完 这 尝 工 作 后 ， 病 毒 5| 导 模块 将 系统 引导 模块 装 入 内 仔 ， 使 系统 在 市 病毒 状态 下 运行 。 


对 于 寄生 在 可 执行 文件 中 的 病毒 ， 病 毒 程序 一 般 通 过 修改 原 有 可 执行 文件 ， 使 该 文件 在 执行 时 先 转 入 病毒 程序 引导 模块 ， 该 引导 
模块 也 可 完成 把 病毒 程序 的 其 他 两 个 模块 驻 留 内 存 及 初始 化 的 工作 ， 把 执行 权 交 给 执行 文件 ， 使 系统 及 执行 文件 在 市 毒 的 状态 下 运 


行 。 


2) 对 于 病毒 的 被 动 传染 而 言 ， 是 随 着 复制 磁盘 或 文件 工作 的 进行 而 进行 传染 的 。 而 对 于 计算 机 病毒 的 主动 传染 而 言 ， 其 传染 过 
程 是 : 在 系统 运行 时 ， 病 毒 通过 病毒 载体 即 系统 的 外 存储 器 进入 系统 的 内 存储 器 、 常 驻 内 存 ， 并 在 系统 内 存 中 监视 系统 的 运行 。 


在 病毒 引导 模块 将 病毒 传染 模块 驻 留 内 存 的 过 程 中 ， 通 党 还 要 修改 系统 中 断 同 量 入 口 地 址 (例如 INT 13H 或 INT 21H) ， 使 该 中 


断 向 量 指向 病毒 程序 传染 模块 。 这 样 ， 一 旦 系统 执行 磁盘 读 写 操作 或 系统 功能 调用 ， 病 毒 传染 模块 束 补 激活， 传染 模块 在 判断 传染 条 
件 满足 的 条 件 下 ， 利 用 系统 INT 13H 读 写 磁 盘 中 断 把 病毒 自身 传染 给 被 读 写 的 磁盘 或 被 加 载 的 程序 ， 也 就 是 实施 病毒 的 传染 ， 再 转移 
到 原 中 断 服务 程序 执行 原 有 的 操作 。 


3) 计算 机 病毒 的 破坏 行为 体现 了 病毒 的 杀伤 力 。 病 毒 破坏 行为 的 激烈 程度 ， 取 决 于 病毒 作者 的 主观 愿望 和 其 所 具有 的 技术 能 


Eu 
ЕВ, 


数 以 万 计 、 不 断 友 展 扩张 的 病毒 ， 其 破坏 行为 干 奇 百 怪 ， 不 可 能 穷 举 其 破坏 行为 ， 难 以 做 全 面 的 换 述 。 病 毒 破坏 目标 和 攻击 部 位 
主要 有 系统 数据 区 、 文 件 、 内 存 、 系 统 运行 、 运 行 速度 、 磁 盘 、 屏 幕 显示 、 键 盘 、 喇 叭 、 打 印 机 、CMOS、 主 板 等 。 


5.1.3 ”病毒 的 工作 流程 

计算 机 系统 的 内 存 是 一 个 非常 重要 的 资源 ， 所 有 的 工作 都 需要 在 内 存 中 运行 。 病 毒 一 般 都 是 通过 各 种 方式 把 目 己 植 入 内 存 ， 获 取 
系统 最 高 控制 权 ， 感 染 在 内 存 中 运行 的 程序 。 

计算 机 病毒 的 完整 工作 过 程 应 包括 如 下 几 个 环节 。 

1) 传染 源 : 病毒 忠 是 依附 于 某 些 存储 介质 ， 如 软盘 、 硬 盘 等 构成 传染 源 。 

2) 传染 媒介 : 病毒 传染 的 媒介 由 其 工作 的 环境 来 决定 的 ， 可 能 是 计算 机 网 络 ， 也 可 能 是 可 移动 的 存储 介质 ， 如 U 盘 等 。 


3) 病毒 激活 : 是 指 将 病毒 六 入 内 存 ， 并 设置 触 友 条 件 。 一 旦 解 友 条 件 成 熟 ， 病 毒 天 开始 目 我 复制 到 传染 对 和 象 中 ， 进 行 各 种 破坏 
活动 。 

4) 病毒 触 友 : 计算 机 病毒 一 旦 极 激 活 ， 立 刻 融会 友 生 作用 ， 触 名 的 条 件 是 多 样 化 的 ， 可 以 是 内 部 时 钟 、 系 统 的 日 期 、 用 户 标识 
符 ， 也 可 能 是 系统 的 一 次 通信 等 。 

5) 病毒 表现 : 表现 是 病毒 的 主要 目的 之 一 ， 有 时 在 屏幕 上 显示 出 来 ， 有 时 则 表现 为 破坏 系统 数据 。 凡 是 软件 扩 术 能 够 触 友 到 的 
地 万， 都 在 其 表现 汽 围 内 。 


6) 传染 : 病毒 的 传染 是 病毒 性 能 的 一 个 重要 标志 。 在 传染 环节 中 ， 病 毒 复制 一 个 自身 副本 到 传染 对 象 中 去 。 计 算 机 病毒 的 传染 
是 以 计算 机 系统 的 运行 及 读 写 磁盘 为 基础 的 。 没 有 这 样 的 条 件 计 算 机 病毒 是 不 会 传染 的 。 只 要 计算 机 和 运行 惑 会 有 磁盘 读 写 动 作 ， 病 毒 
传染 的 两 个 先决 条 件 束 很 容易 得 到 满足 。 系 统 运行 为 病毒 驻 留 内 存 创造 了 条 件 ， 病 毒 传染 的 第 一 步 是 驻 留 内 存 ; 一 旦 进入 内 存 之 后 ， 
寻找 传染 机 会 ， 寻 找 可 攻击 的 对 象 ， 判 断 条 件 是 否 满 足 ， 决 定 是 否 可 传染 ， 当 条 件 满足 时 进行 传染 ， 将 病毒 写 入 磁盘 系统 。 


5.2 ”两 种 简单 病毒 形成 过 程 曝 放 


病毒 的 编写 是 一 种 高 深 技术 ， 真 正 的 病毒 一 般 都 具有 传染 性 、 隐 藏 性、 破坏 性 。 本 节 来 介绍 两 蒜 简 单 病毒 的 制作 ，Restart 病 毒 
ТПО РЕ, 


5.2.1 “Restart 病 毒 形成 过 程 曝光 


Restart 病 毒 是 一 种 能 够 让 计算 机 重新 局 动 的 病毒 ， 该 病毒 主要 通过 DOS 命 令 shutdown/r 命 令 来 实现 。 我 们 平时 在 使 用 计算 机 过 


程 中 或 许 束 有 页 到 过 计算 机 不 断 重 局 的 情况 ， 下 面 曝 区 Restart 病 毒 的 形成 过 程 。 


步骤 01: 在 果 面 空 日 处 单 击 姐 标 右 键 ， 在 弹出 的 列表 中 依次 选择 “新 建 ” 一 “文本 文档 ”选项 ， 新 建 一 个 文本 文档 ， 如 图 5-1 所 
示 。 然 后 打开 新 建 的 记事 本 ， 输 入 shutdown/r 命 令 ， 即 目 动 重 启 本 地 计算 机 命令 ， 如 图 5-2 所 示 。 


ES) 
排序 方式 (O) 
分 组 依据 (P) 


图 5-1 新 建 一 个 文本 文档 


Microsoft PowerPo 
Microsoft PowerPo 
ACDSee PSD Е 
Microsoft Publisher 
Microsoft Excel 97- 
Microsoft Excel Г 
зо Еве 


р 0) EAO EEV SAH) 
shutdown /r 


452 ”输入 shutdown/t 命 令 


02: 单 击 “文件 ”一 “保存 ”命令 ,保存 文件 ， 并 将 文件 重 命 名 为 “腾讯 QQ.bat”， 在 弹出 的 “ 重 命名 ”对 话 框 中 单 
“是 ”按钮 ， 如 图 5-3 所 示 。 


hi 


步骤 03: 石 键 单 击 “ 腾 讯 QQ.bat ”图标 ， 在 弹出 的 荣 单 中 音 击 “创建 快捷 方式 ”命令 ， 如 图 5-4 所 示 。 


FT 


图 5-3” 重 命名 文件 


图 5-4 创建 快捷 方式 


步骤 04: 人 在昌 面 上 石 键 单 击 创建 好 的 “腾讯 QQ.bat- 快 捷 方 式 ” 图 标 ， 在 弹出 的 菜单 中 单 击 “ 属 性 ”命令 ， 弹 出 “腾讯 QQ.bat- 
快捷 方式 属性 ”对 话 框 ,切换 至 “快捷 方式 ”选项 卡 ， 单 击 “ 更 改 图 标 ” 按 钮 ， 如 图 5-5 所 示 。 


步 又 05: 查看 弹出 “更 改 图 标 ” 提 示 信 息 并 单 击 “ 确 定 ” 按 钮 ， 如 图 5-6 所 示 。 此 时 会 弹出 “更 改 图 标 ” 对 话 框 ， 在 列表 中 选择 
程序 图 标 ， 如 图 5-7 所 示 。 如 果 没 有 合适 也 可 单 击 “ 浏 贞 ” 按 钮 ， 选 择 目 定 义 的 图 标 ， 选 定 目 定 义 的 图 标 后 ， 单 击 “ 打 开 ” 按 钮 ， 如 
图 5-8 所 示 。 


图 5-5 “腾讯 QQ.bat- 快 捷 方 式 属 性 ”对 话 框 
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图 5-6 “ERAR” RTK 
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RöystemRoot¥\system32\SHELL32, 


ME TIREPA (5): 


图 5-7 “更 改 图 标 ” 对 话 框 


ЕЕ su Г | 


- 3 腾 训 qq 图 标 卡 等 elsave.exe 
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图 5-8 选择 自 定 义 的 图 标 


步骤 06: 返回 “更 改 图 标 ” 对 话 框 ， 即 可 得 看 到 已 选 定 的 图 标 ， 如 图 5-9 所 示 。 单 击 “ 确 定 ”按钮 ， 即 可 返回 “腾讯 QQ.bat- 快 
捷 方 式 属性 ”对 话 框 ， 在 该 对 话 框 中 可 查看 到 生成 的 “腾讯 QQ.bat” 图 标 ， 如 图 5-10 所 示 。 单 击 “ 确 定 ”按钮 ， 即 可 看 到 桌面 上 的 
快捷 图 标 已 被 修改 ， 其 名 称 被 改 为 “腾讯 QQ”， 如 图 5-11 所 示 。 


步 又 07: 在 昌 面 上 石 击 “ 腾 讯 QQ.bat” 快 捷 图 标 ， 在 弹出 的 快捷 荣 单 中 单 击 “ 属 性 ”命令 ， 如 图 ?-12 所 示 。 


步骤 08: 打开 “腾讯 QQ.bat 属 性 ”对 话 框 ,切换 至 “常规 选项 卡 ， 勾 选 “隐藏 ” 复 选 框 ， 将 文件 设置 为 隐藏 ， 然 后 单 击 “ 确 
定 ” 按 钮 ， 如 图 5-13 所 示 。 

步 又 09: 在 桌面 上 双击 “计算 机 ”图 标 ， 然 后 依次 单 击 “ 工 具 ” 一 “文件 夹 选 项 ”命令 ,打开 “文件 夹 选项 ”对 话 框 ， 如 图 5-14 
所 示 。 在 “文件 夹 选项 ”对 话 框 中 切换 全 “得 看 ”选项 下 ， 选 中 “不 显示 隐藏 的 文件 、 文 件 夹 或 驱动 器 ” 单 选 项 ， 然 后 单 击 “ 确 


定 ”按钮 。 


更 改 图 标 


S HN PER 
E: Bil а P 51. ico 
中 表 中 选择 一 个 图 标 ©): 


图 5-9 “更 改 图 标 ” 对 话 框 


ВЕТА OQ. bat 367 


ВТ: Windows ЖЕУІ 
目标 位 置 : 新建 文件 来 


图 5-10 “腾讯 QQ.bat- 快 捷 方 式 属性 ”对 话 杠 


65-11 已 被 修改 为 “腾讯 QQ” 的 快捷 图 标 


4512 ” 右 击 “腾讯 QQ.bat” 快 捷 图 标 
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4513 “腾讯 QQ.bat 属 性 ”对 话 框 
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4514 “文件 夹 选 项 ”对 话 框 


步骤 10: 设置 后 在 果 面 上 得 看 快捷 图 标 ， 可 看 到 昌 面 上 未 显示 “腾讯 QQ.bat” 图 标 ， 只 显示 了 “腾讯 QQ ”图 标 ， 如 图 ?5-15 所 
示 。 用 户 一 旦 双击 该 图 标 计算 机 便 会 重 局 。 


图 5-15 在 桌面 上 查看 快捷 图 标 


5.2.2 ОЛ МБУ С 


U 盘 病毒 ， 又 称 Autorun 病 毒 ， 就 是 通过 U 盘 产生 AutoRun.inf 进 行 传播 的 病毒 。 随 着 U 盘 、 移 动 硬盘 、 人 存储 卡 等 移动 存储 设备 的 
普及 ，U 盘 病毒 已 经 成 为 现在 比较 流行 的 计算 机 病毒 之 一 。U 檀 病毒 并 不 是 只 存在 于 U 盘 上 ， 中 毒 的 计算 机 每 个 分 区 下 面 同样 有 U 盘 病 
毒 ， 计 算 机 和 U 盘 交叉 传播 。 


下 面 曝光 简单 的 U 盘 病毒 生成 过 程 。 
步骤 01: 将 病毒 或 木马 复制 到 U 盘 中 ， 然 后 在 U 盘 中 新 建文 本 文档 ， 将 新 建 的 文本 文档 重合 名 为 Autorun.inf， 如 图 5-16 所 示 。 


步骤 02: 在 弹出 的 “ 重 命名 ”提示 框 中 单 击 “ 是 ”按钮 ， 如 图 5-17 所 示 。 
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4517 “ 重 命名 ”提示 框 


步骤 03: 双击 Autorun.inf 文 件 打 开 记 事 本 窗口 ， 编 辑 文件 代码 ， 使 得 双击 U 盘 图 标 后 运行 指定 木马 程序 ， 如 图 5-18 所 示 。 


步骤 04: 按 住 Ctrl 键 将 木马 程序 和 Autorun.inf 文 件 一 起 选中 然后 右键 单 击 任 一 文件 ， 在 弹出 的 快捷 茉 蛙 中 早 击 “属性 ”命令 ,如 
图 5-19 所 示 。 
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95-19 ”查看 属性 


“隐藏 ” 复 选 框 ， 然 后 单 击 “ 确 定 ” 按 钮 ， 如 图 5-20 所 
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步骤 06: 在 U 盘 窗口 中 依次 早 击 “工具 ”一 “文件 夹 选项 ”命令 ,打开 “文件 夹 选项 ”对 话 框 ， 如 图 5-21 所 示 。 切 换 至 “ 碍 
看 ”选项 卡 ， 选 中 “不 显示 隐藏 的 文件 、 文 件 夹 或 驱动 器 ” 曲 选 项 ， 然 后 单 击 “ 确 定 ” 按 钮 。 


CORRE Мю МТ) 


5-20 “25 5-.ехе Е” ХЕ 


Бе 3... 
文件 : 


Ë Ж zu n^ Jp т. jus ДН 


она | анун | 


Bp ИЕЛ АЕ pESTITAIES: 
隐藏 受 保 护 的 操作 系统 交 件 (推荐 
" Дери, иа 


4521 “文件 夹 选项 ”对 话 框 


步骤 07: 将 U 盘 接 入 计算 机 中 ， 右 击 U 盘 对 应 的 图 标 ， 在 快捷 茉 单 中 会 看 到 Auto 命 令 ， 表 示 设 置 成 功 。 


5.3 ”VBS 脚本 病毒 曝光 


脚本 病毒 通常 是 由 Javascript 代 码 编写 的 恶意 代码 ， 一 般 带 有 广告 性 质 、 修 改 |E 首 页 、 修 改 注 册 表 等 信息 。 脚 本 病毒 前 缀 是 
Script， 共 同 点 是 使 用 脚本 语言 编写 ， 通 过 网 页 进行 的 传播 的 病毒 ， 如 红色 代码 (Script.Redlof) ; 脚本 病毒 还 会 有 其 他 前 级 : 
VBS, JS (表明 是 何 种 脚本 编写 的 ) ， 如 欢乐 时 光 (VBS.Happytime) 、 十 四 日 (Js.Fortnight.c.s) =, 


5.31 VBS 脚 本 病毒 生成 机 

现在 网 络 中 还 流行 如 “VBS 脚 本 病毒 生成 机 ”这 样 的 自动 生成 脚本 语言 软件 ， 不 需要 掌握 枯燥 的 语言 ， 也 不 需要 一 点 编程 知识 就 
能 制造 出 一 个 VBS 脚 本 病毒 ， 所 以 用 户 在 这 方面 要 多 加 防 泡 。 

下 面 曝 光 脚 本 病毒 的 生成 过 程 ， 具 体 的 操作 步骤 如 下 。 


步骤 01: 下 载 并 解压 “病毒 生成 器 ”压缩 文件 ， 双 击 Vir1.exe 应 用 程序 图 标 ， 即 可 打开 “病毒 制造 机 vV1.0” 对 话 框 ， 在 其 中 看 到 
程序 的 相关 介绍 ， 如 图 5-22 所 示 。 


Драка 


在 用 此 软件 制造 生成 病毒 的 同时 ， 会 产生 一 个 名 为 reset.vbs 的 恢复 文件 ， 如 果 不 小 心 运行 了 病毒 ， 系 统 将 不 能 正常 工作 ， 则 可 以 


运行 它 来 解救 。 
步骤 02: 在 “病毒 复制 选项 ”页 面 中 可 选择 是 否 将 在 最 终生 成 病毒 的 同时 ， 在 指定 的 文件 夹 下 再 生成 一 个 病毒 副本 。 也 可 选择 在 


Windows 文 件 夹 或 系统 文件 来 中 生成 病毒 副本 ， 文 件 名 的 前 缀 默认 为 Win32system， 也 可 以 目 定义 。 如 果 想 在 每 次 开机 时 目 动 运行 
该 病毒 程序 ， 可 勾 选 “复制 病毒 副本 到 局 动 菜单 ” 复 选 项 ， 如 图 ?-23 所 示 。 
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图 5-22 “病毒 制造 机 v1.0” 对 话 框 
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8523 “病毒 复制 选项 да 


提示 


除 软件 默认 指定 的 这 几 个 选项 外 ， 用 户 也 可 任意 指定 病毒 副本 的 存放 位 置 ， 这 需要 对 生成 的 VBS 病 毒 文件 手工 进行 一 些 修改 才 
f. 

步骤 03: 在 “ 系 止 功能 选项 ”页 面 中 根据 要 设计 的 脚本 病毒 功能 勾 选 合适 的 复 选 枉 ， 如 图 ?-24 所 示 。 在 “病毒 提示 对 话 框 ” 页 面 
的 “设置 开机 提示 框 标 题 ”输入 栏 和 “设置 开机 提示 框 内 容 ” 输 入 栏 中 输入 相关 字符 ， 如 图 ?-25 所 示 。 
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4525 “病毒 提示 对 话 框 ”页 面 


若 义 选 “开机 自动 运行 ”选项 ， 则 病毒 将 自身 加 入 注册 表 中 ， 伴 随 系 统 启 动 悄 悄 运 行 ; 如 果 只 是 想 搞 点 恶作剧 捉弄 下 别人 ， 可 多 
选 禁止 运行 菜单 . CAE 关闭 系统 菜单 、 禁止 任务 栏 和 开始 ”及 “禁止 显示 桌面 所 有 图 标 ”等 选项 ， 让 中 毒 者 
的 计算 机 出 现 些 莫名其妙 错 误 。 如 果 想 让 对 方 开机 后 找 不 到 硬盘 分 区 、 无 法 运行 注册 表 编辑 器 、 无 法 打开 控制 面板 等 ， 则 需要 勾 
选 “ 隐 藏 盘 符 ”、“ 禁 止 注 册 表 扫描 、“ 禁 用 “控制 面板 ”” 等 选项 。 


步骤 04: 在 “病毒 传播 选项 ”页 面 中 勾 选 аашаа не И 复 选 框 ， 即 可 激活 “每 次 运行 目 动 向 地 址 簿 中 
的 前 ”文本 框 ， 在 其 中 输入 相应 的 数字 后 ， 则 每 次 病毒 运行 时 ， 都 会 自动 同 邮 件 地 址 往 中 指定 数字 的 联系 人 友 送 市 毒 邮 件 ， 如 图 5-26 
ШКУ 
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步 又 05: 在 “IE 修改 选项 ”页 面 中 根据 要 设计 的 脚本 病毒 的 功能 义 选 相应 复 选 框 ， 如 图 5-27 所 示 。 在 “开始 制造 病毒 ”页 面 的 输 
入 框 中 输入 脚本 病毒 文件 存放 位 置 ， 如 图 5-28 所 示 。 单 击 “ 开 始 制造 ”按钮 会 出现 生成 进度 条 ， 如 图 5-29 所 示 。 显 示 完 成 后 即 可 在 
刚才 所 选 的 存放 位 置 但 看 到 生成 的 病毒 。 


第 七 步 开始 制造 病毒 
|н sa У ЕТЕЛ : 


Е НЕ 


E528 “开始 制造 病毒 ”页 面 


|| 病毒 制造 机 у1.0 


coe 开始 制 抬 病毒 
请 输入 病毒 文件 存放 位 置 


图 5-29 生成 进 度 条 提示 


在 病毒 生成 之 后 ， 如 何 让 病毒 在 对 方 的 计算 机 上 运行 呢 ? 有 许多 种 万 法 ， 比 如 修改 文件 名 ， 使 用 双 后 缀 的 文件 名 ， 如 “ 病 
毒 .txt.vbs” 等 ， 再 通过 邮件 附件 发 送出 去 。 因 为 这 里 主要 是 讲述 VBSs 病 毒 的 制作 过 程 ， 如 何 传播 病毒 的 具体 实施 过 程 这 里 不 乾 述 。 


5.3.2 VBSs 脚 本 病毒 刷 QQ 聊 天 屏 


VBS 脚 本 语言 功能 强大 ， 而 且 使 用 异常 信 单 。 下 面 将 曝光 一 个 可 以 目 动 刷 QQ 群 聊天 室 的 VBS 病 毒 。 


(1) 生成 VBS 脚 本 


要 新 建 一 个 记事 本 ， 并 在 空 日 的 文本 框 中 输入 如 下 代码 : 


Set WshShell= WScript.CreateObject ("WScript.Shell") 
WshShell.AppActivate "о HERZ" 

for i-1 to 10 

WScript.Sleep 500 

WshShell.SendKeys "^v" 

WshShell.SendKeys i 

WshShell.SendKeys "$s" 

Next 


其 中 “for i=1 to 10” 语 句 是 用 来 的 控制 发 送 次 数 的 ， 表 示 发 送 10 次 ， 可 以 改 为 更 大 的 数字 。 其 中 很 重要 的 一 名 
是 “WshShell.AppActivate" 这 个 群 真 好 玩 ”， 该 语句 指定 了 要 刷 的 QQ 和 群 名 称 ， 可 以 根据 需要 修改 。 在 输入 完毕 后 ， 将 文件 保存 为 
以 .vbs 为 后 缀 的 任意 文件 名 ， 如 qq.vbs， 如 图 5-30 所 示 。 


(2) 刷 QQ 群 聊天 窗口 


打开 一 个 群 聊天 窗口 并 复制 要 友 送 的 内 容 到 剪贴 板 上 ， 如 复制 了 一 条 “什么 ? ”， 冯 击 刚 才 生 成 的 qq.vbs 切 换 到 群 聊天 窗口 中 ， 


在 其 中 可 看 到 已 目 动 刷 屏 了 ， 如 图 5-31 所 示 。 


тен ж it ко ЗЕМ WR) | 
Set WshShell- WScript. CreateOb ject (” "WScript. Shell") * 
WshShell.AppActivate “这 个 群 Ж" 

|for 1=1 to 10 

WScript.Sleep 500 . 

WshShell.SendKeys ^ v 

WshShell. SendKeys i 

WshShell.SendKeys "Xs 

Next 


5-30 保存 为 qq.vbs 
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图 5-31 自动 刷 屏 群 聊天 窗口 


在 刷 屏 成 功 后 ， 则 每 一 条 信息 下 面 显示 了 信息 发 送 的 条 数 ， 当 发 送 完 指定 的 条 数 后 ， 便 会 自动 停止 了 。 


5.3.3 VBS 网 页 脚本 病毒 

许多 网 页 中 的 重要 代码 大 多 来 用 VBS 语 言 编 写 ， 如 果 在 这 类 网 页 中 加 入 一 些 VBS 病 毒 代码 ， 会 造成 浏览 网 页 时 出 现 死 机 、 系 统 被 
破坏 、 数 据 丢 失 等 问题 。 

下 面 曝 光 几 个 VBS 网 页 脚本 病毒 代码 ， 该 代码 可 与 |E 网 页 木马 结合 使 用 。 

(1) 无 限 循环 窗口 

在 网 页 中 加 入 一 些 VBS 病 毒 代码 ， 将 造成 无 限 循环 窗口 。 具 体操 作 步 又 如 下 。 


步骤 01: 先 任 意 打 开 一 个 网 页， 再 石 键 单 击 “查看 产 文 件 ” 菜 蛙 项 ， 即 可 查看 该 网 页 的 源 代码 。 再 新 建 一 个 记事 本 ， 在 记事 本 窗 


口 空白 文本 区 内 添加 <script language- "java script" > nz 1;while(n2 = 1)(window.open(" ")} «/script» 18. 
步骤 02: 在 添加 到 合适 的 位 置 后 ， 选 择 “ 文 件 ” 一 “另存 为 ”菜单 项 ， 即 可 弹出 “另存 为 ”对 话 框 ， 在 其 中 输入 需 保存 文件 名 并 


选择 文件 类 型 为 .html 格 式 ， 绸 保存 该 网 页 。 
步骤 03: 打开 刚 保存 过 的 网 页 ， 残 会 不 断 弹出 新 的 窗口 ， 直 到 系统 资源 耗 尽 死机 为 止 。 


(2) IE 密 码 炸弹 
在 网 页 中 加 入 一 些 VBS 病 毒 代码 ， 将 造成 Windows 死 机 月 演 。 具 体操 作 步 又 如 下 。 
任意 打开 一 个 网 页 ， 表 选择 “查看 ”一 “ 源 文件 ” 有 菜单 项 ， 即 可 查看 该 网 页 的 源 代码 。 


步骤 01 : 
ww ) š 
密码 正确 ! "))</script>” 


新 建 一 个 记事 本 ， 在 记事 本 窗口 空 日 文本 区 内 添加 以 下 代码 。 


步骤 02 : 
"<5сгіре language-"javascript"» a-prompt ("iB А0010: ", 
Jelse(alert(" 


ІҒ(а!- "123") {window.open ("file:///c:/con/con") 
步骤 03: 在 添加 到 合适 的 位 置 后 ,选择 “文件 ”一 “另存 为 ”菜单 项 ， 即 可 弹出 “另存 为 ”对 话 框 ， 在 其 中 输入 需要 保存 的 文件 
。 密 码 输入 正确 后 可 进入 网 页 ， 如 密码 输入 不 正 


名 并 选择 文件 类 型 为 .htm| 格 式 ， 再 保存 该 网 页 
步骤 04: 打开 刚 保 仓 过 的 网 页 ， 则 会 要 求 输入 登录 密码 ， 默 认 密 码 为 “123 


Windows 死 机 且 无 法 再 打开 C 盘 。 


确 ， 后 果 将 会 是 
5.4_” 安 病毒 与 邮件 病毒 防 泄 
能 会 给 自己 造成 重大 损失 ， 所 以 有 必要 了 解 一 些 这 方面 的 防范 


安 病毒 与 邮件 是 广大 用 户 经 昔 遇 到 的 病毒 ， 如 果 中 了 这 些 病毒 残 可 


知识 。 
5.4.1 ” 安 病 毒 的 判断 方法 
虽然 不 是 所 有 包含 宏 的 文档 都 包含 了 宏 病 毒 ， 但 当 有 下 列 情况 之 一 时 ， 则 可 以 百分之百 地 断定 该 Office 文 档 或 Office 系 统 中 有 宏 
的 情况 下 ， 当 打开 一 个 自己 编辑 的 文档 时 ， 系 统 会 弹出 相应 的 警告 框 。 而 自己 清楚 自己 并 没有 在 
由 于 在 一 般 情况 下 用 户 很 


病毒 。 
1) 在 打开 “ 安 病 毒 防护 功能 
其 中 使 用 宏 或 并 不 知道 宕 到 底 怎 么 有 用， 那么 就 可 以 完全 肯定 该 文档 已 经 感染 了 宏 病 毒 。 


2) 在 打开 “ 宏 病毒 防护 功能 ”的 情况 下 ， 自 己 的 Office 文 档 中 一 系列 的 文件 都 在 打开 时 给 出 宏 警 告 
文档 中 有 安 病 毒 。 
， 依 次 打开 “ 工 
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3) 如 果 软 件 中 天 于 安 病 毒 防护 选项 局 用 后 ， 该 设置 不 能 在 下 次 开机 时 保 仔 。Word 中 提供 了 对 安 病 毒 的 防护 功能 
pru ^ 


А" — "Gum ， 打 开 “ 选 项 ”设置 页 面 ， 如 图 5-32 所 示 。 切 损人 全 “安全 性 ”选项 卡 


框 ， 可 对 安全 级 别 进 行 设 定 ， 如 图 ?2-33 所 示 。 
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图 5-32 “选项 ”设置 页 面 
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图 5-33 “安全 性 ”对 话 框 


但 有 些 宏 病 毒 为 了 对 付 Office 中 提供 的 宏和 警告 功能 ， 它 在 感染 系统 (通常 只 有 在 用 户 关 闭 了 宏 病 毒 防护 选项 或 者 出 现 宏 警 告 后 不 
留神 选取 了 “启用 宏 ” 才 有 可 能 ) 后 ， 会 在 用 户 每 次 退出 Office 时 自动 屏蔽 宏 病 毒 防护 选项 。 因 此 ， 用 户 一 旦 发 现 自己 设置 的 宏 病毒 
防护 功能 选项 无 法 在 两 次 启动 Word 之 间 保 持 有 效 ， 则 应 知道 自己 的 系统 一 定 已 经 感染 了 宏 病 毒 ， 也 就 是 说 一 系列 Word 模 板 、 特 别 是 
normal.dot 已 经 被 感染 。 


鉴于 绝 大 多 数 人 都 不 需要 或 者 不 会 使 用 “ 宏 ” 功 能 ， 所 以 可 以 得 出 一 个 相当 重要 的 结论 : 如 果 Office 文 档 在 打开 时 ， 系 统 给 出 一 
个 宏 病 毒 警 告 框 ， 就 应 该 对 这 个 文档 保持 高 度 警惕 ， 它 已 被 感染 的 几率 极 大 。 


542 [DB SS RSS 


针对 安 病 毒 的 预防 和 清除 操作 方法 很 多 ， 下 面 介 绍 诈 选 方法 和 应 急 处 理 两 种 方式 。 


(1) 首选 方法 


使 用 反 病 毒 软件 是 一 种 高 效 、 安 全 和 方便 的 清除 万 法 ， 也 是 一 般 计 算 机 用 户 的 诈 选 方法 。 但 安 病 毒 并 不 像 某 泽 厂商 或 及 兽 大 意 的 
人 那样 有 所 谓 “ 广 谱 ” 的 查 杀 软件 ， 这 方面 的 突出 例子 就 是 ETHAN 宏 病毒 。ETHAN 宏 病毒 相当 隐蔽 ， 比 如 用 户 使 用 反 病 毒 软件 (应 
该 算 比 较 新 的 版 本 了 ) 都 无 法 得 出 尼 。 此 外 ， 这 个 安 病 毒 能 够 悄悄 取消 Word 中 安 病 毒 防护 选项 ， 并 且 某 些 情况 下 会 把 被 感 染 的 文档 
置 为 只 读 属 性 ， 从 而 更 好 地 保存 了 目 己 。 


因此 ， 对 付 宏 病 毒 应 该 像 对 付 其 他 种 类 的 病毒 一 样 ， 也 要 尽量 使 用 最 新 版 的 查 杀 病毒 软件 。 无 论 用 户 使 用 的 是 何 种 反 病 毒 软件 ， 
及 时 升级 是 非常 重要 的 。 


(2) 应 急 处 理 方 法 


用 写字 板 或 Word 文 档 作为 清除 宏 病 毒 的 桥梁 。 如 果 用 户 的 Word 系 统 没有 感染 宏 病 毒 ， 但 需要 打开 某 个 外 来 的 、 已 查 出 感染 有 宏 
病毒 的 文档 ， 而 手头 现 有 的 反 病 毒 软件 义 无 法 查 杀 它们 ， 束 可 以 试验 用 来 查 杀 文档 中 的 宏 病 毒 : 打开 感染 了 宏 病 毒 的 文档 (当然 是 局 
用 Word 中 的 “ 安 病毒 防护 ”功能 并 人 在 安 警告 出 现时 选择 “取消 安 ”) ， 选 择 “ 文 件 ” 一 “另存 为 ”菜单 项 ， 将 此 文档 改 存 成 写字 板 

(КТЕ) 格式 或 Word 格 陈 。 


在 上 述 万 法 中 ， 存 成 写字 板 格式 是 利用 RTF 文 档 格 式 没 有 安 ， 和 存 成 Word 格 陈 则 是 利用 了 Word 文 档 在 转换 格式 时 会 失去 安 的 特 
挟 。 写 字 板 所 用 的 RTF 格 式 适用 于 文档 中 的 内 容 限 于 文字 和 图 片 的 情况 下 ， 如 果 文 档 内 容 中 除了 文字 、 图 片 外 还 有 图 形 或 表格 ， 按 
Word 格 式 保 存 一 般 不 会 失去 这 些 内 容 。 存 盘 后 应 该 检查 一 下 文档 的 完整 性 ， 如 果 文 档 内 容 没有 任何 丢失 ， 并 且 在 重新 打开 此 文档 时 
不 再 出 现 安 警告 则 大 功 告 成 。 


5.4.3 全面 防御 邮件 病毒 


邮件 病毒 是 通过 电子 邮件 万 式 进 行 传播 的 病毒 的 总 称 。 电 子 邮件 传播 病毒 通 弟 是 把 自己 作为 附件 友 送 给 被 攻击 者 ， 如 果 接 收 到 该 
邮件 的 用 尸 不 小 心 打开 了 附件 ， 病 毒 束 会 感染 本 地 计算 机 。 另 外 ， 由 于 电子 邮件 客户 端 程序 存在 一 些 bug， 也 可 能 被 攻击 者 用 来 传播 
电子 邮件 病毒 ， 微 软 的 Outlook Express 曾 经 束 因 为 存在 两 个 漏洞， 所 以 被 攻击 者 编制 特制 的 代码 ， 使 接收 邮件 的 用 尸 不 需要 打开 附 
件 ， 即 可 目 动 运行 病毒 文件 。 


在 了 解 了 邮件 病毒 的 传染 方式 后 ， 用 户 残 可 以 根据 其 特性 制定 出 相应 的 防 泡 措施 。 


1) 安 妆 防 病毒 程序 。 防 御 病 毒 感染 的 最 佳 方法 残 是 安 委 防 病毒 扫 搞 程序 并 及 时 更 新 。 防 病毒 程序 可 以 扫 摘 传 入 的 电子 邮件 中 的 
已 知 病毒 ， 并 帮助 防止 这 些 病毒 感染 计算 机 。 新 病毒 几乎 每 天 都 会 出 现 ， 因 此 需要 确保 及 时 更 新 防 病毒 程序 。 多 数 防 病毒 程序 都 可 以 
设置 为 定期 目 动 更 新 ， 以 具备 需要 与 最 新 病毒 进行 斗争 的 信息 。 


2) 打开 电子 邮件 附件 时 要 非 钊 小 心 。 电 子 邮 件 附件 是 主要 的 病毒 感染 源 。 例 如 ， 用 户 可 能 会 收 到 一 封 审 有 附件 的 电子 邮件 (Е 
至 友 送 者 是 目 己 认识 的 人 ) ， 该 附件 航 伪 委 为 文档 、 照 片 或 程序 ， 但 实际 上 是 病毒 。 如 果 打 开 该 文件 ， 病 毒 融 会 感染 计算 机 。 如 果 收 
到 意外 的 电子 邮件 附件 ， 请 考虑 在 打开 附件 之 前 先 人 答复 友 件 人 ， 问 清 是 人 否 确 实 友 送 了 这 些 附件 。 


3) 使 用 防 病毒 程序 检查 压缩 文件 内 容 。 病 毒 编写 者 用 于 将 有 恶意 文件 潜入 计算 机 中 的 一 种 方法 是 使 用 压缩 文件 格式 (如 .zip 或 .rar 
格式 ) 将 文件 作为 附件 友 送 。 多 数 防 病毒 程序 会 在 接收 到 附件 时 进行 扫 摘 ， 但 为 了 安全 起 见 ， 应 该 将 压缩 的 附件 保存 到 计算 机 的 一 个 
文件 夹 中 ， 在 打开 其 中 所 包含 的 任何 文件 乙 前 先 使 用 防 病毒 程序 进行 扫 摘 。 


Д) 蛙 击 邮件 中 的 链接 时 需 谨 愤 。 电 子 邮件 中 的 欺骗 性 链接 通常 作为 仿冒 和 间谍 软件 骗局 的 一 部 分 使 用 ， 但 也 会 用 来 传输 病毒 。 
单 击 欺 骗 性 链接 会 打开 一 个 网 页 ， 该 网 页 将 试图 向 计算 机 下 载 恶 意 软 件 。 在 决定 是 否 单 击 邮 件 中 的 链接 时 要 小 心 ， 尤 其 是 在 邮件 正文 
看 上 去 含糊 不 清 时 ， 如 邮件 上 写 着 “ 码 看 我 们 的 假期 图 片 ”， 但 却 没有 标识 用 户 或 友 件 人 的 个 人 信息 。 


5.5 deme 


与 传统 的 病毒 不 同 ， 蠕 虫 病毒 以 计算 机 为 载体 ， 以 网 络 为 攻击 对 象 。 网 络 蠕虫 病毒 可 分 为 利用 系统 级 别 漏洞 (主动 传播 ) 和 利用 
性 会 工程 学 (欺骗 传播 ) 两 种 。 在 宽 市 网 络 迅速 普及 的 今天 ， 蠕 虫 病毒 在 技术 上 已 经 能 够 成 束 地 利用 各 种 网 络 资源 进行 传播 。 


5.5.1 ”网 络 蠕虫 病毒 实例 分 析 

目前 ， 产 生 严 重 影响 的 蠕虫 病毒 有 很 多 ， 如 “ 莫 里 斯 蠕虫 ”、 “美丽 杀手 ”、 “ 爱 虫 病毒 ”、 “红色 代码 ”、“ 尼 姆 亚 ”、 “Ж 
职 信 ” 和 “蠕虫 王 ” 等 ， 都 给 人 们 留 下 了 深刻 的 印象 。 

(1) Guapimi£ Hess 


Guapim (Worm.Guapim) 蠕虫 病毒 特征 为 : 通过 即时 聊天 工具 和 文件 共享 网 络 传播 的 蠕虫 病毒 。 太 作 症 状 : 病毒 在 系统 目录 
下 释放 病毒 文件 System32%\pkguar d32.exe， 并 人 在 注 册 表 中 添加 特定 键 值 以 实现 目 局 动 。 访 病毒 会 给 MSN、QQ 等 聊天 工具 的 好 友 
发 送 诱惑 性 消息 : Hehe.takea look at this funny game http://***//Monkye.exe， 同 时 假借 HowtoHack.exe、 
HalfLife2FULL.exe、WindowsXP.exe、VisualStudio2005.exe 等 文件 名 复制 自身 到 文件 共享 网 络 ， 并 试图 在 Internet 网 络 上 下 载 执 
行 男 一 蠕虫 病毒 ， 和 直接 降低 系统 安全 设置 ， 给 用 户 正 常 操作 市 来 极 大 的 隐患 。 


(2) 安 羔 普 蠕 虫 病毒 


же (Worm.Anap.b) 蠕虫 病毒 通过 电子 邮件 传播 ， 利 用 用 户 对 知名 品牌 的 信任 心理 ， 伪 涂 某 些 知 名 IT 厂 商 (如 成 微软 、 
IBM) 而 给 用 尸 大 量 友 送 市 毒 邮 件 ， 诱 骗 用 尸 打开 附件 以 致 中 毒 。 病 毒 运 行 后 会 弹出 一 个 窗口 ， 内 容 提示 为 “这 是 一 个 蠕虫 病 
毒 ”。 同 时 ， 该 病毒 会 在 系统 临时 文件 和 个 人 文件 夹 中 大 量 收集 邮件 地 址 ， 并 循环 友 送 邮件 。 


注意 


针对 这 种 典型 的 邮件 传播 病毒 ， 大 家 在 查看 自己 的 电子 邮件 时 ， 一 定 要 确定 发 件 人 目 己 是 否 熟悉 之 后 再 打开 。 


虽然 利用 邮件 进行 传播 一 直 是 病毒 传播 的 主要 途径 ， 但 随 肴 网 络 威胁 种 类 的 增多 和 病毒 传播 途径 的 多 样 化 ， 某 些 蠕 虫 病毒 往往 还 
携带 着 “间谍 软件 和 ”网络 钓鱼 等 不 安全 因素 。 因 此 ， 一 定 要 注意 及 时 升级 自己 的 杀毒 软件 到 最 新 版 本 ， 注 意 打开 邮件 监控 程 
序 ， 保 证 自己 的 上 网 环境 安全 。 


5.5.2 тре Je TTG 


ТЕУ ts ERAS eS 3 7 —ХЕНУ Y RES, TAERAA КІ АПА A e ЛАУА Е 0556. 
(1) CAPIRE 


企业 在 区 分 地 利用 网 络 进行 业务 处 理 时 ， 不 得 不 考虑 企业 的 病毒 防 学 问题 ， 以 保证 天 系 企业 命运 的 业务 数据 完整 不 航 破 坏 。 企 业 


防治 蠕虫 病毒 时 需要 考虑 几 个 问题 : аве НОЕ НВО, Тате а еве, SIUPScSHJNIBEZJ. 
推荐 的 企业 防 汽 蠕 虫 病毒 的 策略 如 下 。 


1) 加 强 安全 管理 ， 提 高 安全 意识 。 由 于 蠕虫 病毒 是 利用 Windows 系 统 漏洞 进行 攻击 的 ， 因 此 ， 就 要 求 网 络 管理 员 尽 量 在 第 一 时 
间 保 持 系 统 和 应 用 软件 的 安全 性 ， 保 持 各 种 操作 系统 和 应 用 软件 的 及 时 更 新 。 随 着 Windows 系 统 各 种 漏洞 的 不 断 涌现 ， 要 想 一 芳 永 
锡 地 获得 一 个 安全 的 系统 环境 ， 已 几乎 不 再 可 能 。 而 作为 系统 负载 重要 数据 的 企业 用 户 ， 其 所 面临 攻击 的 危险 也 将 越 来 越 大 ， 这 融 要 
求 企业 的 管理 水 平和 安全 意识 也 必须 越 来 趣 高 。 


2) 建立 病毒 检测 系统 。 能 够 在 第 一 时 间 检 测 到 网 络 异常 和 病毒 攻击 。 


3) 建立 应 急 响 应 系统 ， 尽 量 降 低 风 险 。 由 于 蠕虫 病毒 爆 友 的 突然 性 ， 可 能 在 被 友 现 时 已 曼 延 到 了 整个 网 络 ， 建 立 一 个 紧急 响应 
系统 束 显 得 非 党 必要， 能够 在 病毒 爆 友 的 第 一 时 间 提 供 解 决 万 案 。 


4) 建立 火 难 备份 系统 。 对 于 数据 库 和 数据 系统 ， 必 须 采 用 定期 备份 ， 多 机 备份 措施 ， 防 止 意 外 灾难 下 的 数据 丢失 。 


5) 对 于 局 域 网 而 言 ， 可 安 丢 防火墙 式 防 杀 计算 机 病毒 产品 ， 将 病毒 隅 离 在 局 域 网 之 外 ;对 邮件 服务 器 实施 监控 ， 切 断 市 毒 邮件 
的 传播 途径 ; 对 局 域 网 管理 员 和 用 户 进行 安全 培训 ; 建立 局 域 网 内 部 的 升级 系统 ， 包 括 各 种 操作 系统 的 补丁 升级 ， 各 种 党 用 的 应 用 软 
件 升 级 ， 各 种 杀毒 软件 病毒 库 的 升级 等 。 


(2) 个 人 用 户 对 网 络 蠕虫 的 防 艺 


对 于 个 人 用 己 而 言 ， 威 胁 大 的 蠕虫 病毒 采取 的 传播 方式 一 般 为 电子 邮件 以 及 恶意 网 页 等 。 下 面 介绍 一 下 个 人 应 该 如 何 防 学 网 络 蠕 
虫 病毒 。 

1) 安 状 合 适 的 杀毒 软件 。 网 络 蠕虫 病毒 的 友 展 已 经 使 传统 的 杀毒 软件 的 “文件 级 实时 监控 系统 ”落伍 ， 杀 毒 软 件 必 须 向 内 存 实 
时 监控 和 邮件 实时 监控 友 展 ; 网 页 病毒 也 使 用 户 对 杀毒 软件 的 要 求 越 来 越 高 。 


2) 经 常 升级 病毒 库 。 杀 毒 软件 对 病毒 的 但 杀 是 以 病毒 的 特征 码 为 依据 的 ， 而 病毒 每 天 层出不穷 ， 尤 其 是 在 网 络 时 代 ， 蠕 虫 病毒 
的 传播 速度 快 ， 变 种 多 ， 所 以 必须 随时 更 新 病毒 库 ， 以 便 能 够 查 杀 最 新 的 病毒 。 


3) 提高 防 杀 毒 意识 。 不 要 轻易 去 点 击 陌生 的 站 点， 有 可 能 里 面 束 含有 演 意 代码 。 当 运行 IE 时 ， 在 “Internet 区 域 的 安全 级 别 ” 选 
项 中 把 安全 级 别 由 “中 ” 改 为 “高 ”， 因 为 这 一 类 网 页 主要 是 含有 恶意 代码 的 ActiveX 或 Applet、javascript 的 网 页 文件 ， 在 IE 设置 中 
将 ActiveX 插 件 和 控件 、Java 脚 本 等 全 部 禁止 ， 以 大 大 减少 被 网 页 恶意 代码 感染 的 几率 。 不 过 这 样 做 以 后 在 浏览 网 页 过 程 中 ， 有 可 能 
会 使 一 些 正常 应 用 ActiveX 的 网 站 无 法 浏览 。 


设置 步骤 如 下 。 


步骤 01: 双击 “控制 面板 ”窗口 中 的 “Internet 选 项 ”图 标 项 ， 打 开 “Internet 属 性 ”对 话 框 。 单 击 “ 自 定义 级 别 ” 按 钮 ， 如 图 
5-34 所 示 。 


步骤 02: 打开 “安全 设置 ”对 话 框 ， 在 “ 重 置 为 ”下 拉 列 表 中 选择 “安全 级 -高 ”选项 ， 然 后 把 “Activex 控 件 和 插件 ”中 的 所 有 
选项 都 设 为 禁用 ， 单 击 “ 确 定 ” 按 钮 ， 如 图 5-35 所 示 。 
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65-5 “安全 设置 ”对 话 框 


Д) 不 随意 查看 陌生 邮件 。 一 定 不 要 打开 扩展 名 为 VBS、SHS 或 PIF 的 邮件 附件 。 这 些 扩展 名 从 未 在 正常 附件 中 使 用 过 ， 但 它们 经 
党 被 病毒 和 蠕虫 使 用 。 


5.6 ”快速 合 杀 木马 和 病毒 


对 于 那些 识别 出 来 的 比较 了 解 的 木马 病毒 ， 可 以 手工 将 其 删除 ， 但 是 如 果 是 陌生 的 木马 病毒 ， 要 想 确定 木马 的 名 称 、 入 侵 端 口 、 
隐藏 位 置 和 清除 方法 等 都 非常 困难 ， 这 时 需要 借助 各 种 木马 清除 软件 来 清除 木马 。 


5.6.1 НІМОПрЗ2Е  5Әжв 
NOD32 是 近 几 年 中 迅速 崛起 的 一 款 杀 毒 软件 ， 它 以 轻巧 易 用 、 惊 人 的 检测 速度 及 卓越 的 性 能 深 受 用 户 青 睐 ， 成 为 许多 用 户 和 IT 
专家 的 杀毒 首选 。 经 多 家 检测 权威 确认 ，NOD32 在 速度 、 精 确 度 和 各 项 表现 上 已 拥有 多 项 的 全 球 纪录 。 


在 使 用 NOD32 进 行 查 杀 病毒 之 前 ， 最 好 先 升 级 一 下 病毒 库 ， 这 样 才 能 保证 杀毒 软件 对 新 型 病毒 的 查 杀 效 果 。 更 新 病毒 库 之 后 ， 
融 可 以 对 计算 机 进行 最 单 用 的 查 杀 病毒 操作 了 。 
具体 的 操作 步骤 如 下 。 


步骤 01: 选择 “开始 ”一 “所 有 程序 ”一 ESET 一 ESET NOD32 Antivirus 一 ESET NOD32 Antivirus 菜 单项 ， 即 可 打开 ESET 
NOD32 Antivirus 窗 口 ， 如 图 5-36 所 示 。 


步骤 02: 单 击 均 侧 “ 计 算 机 要 摘 ” 选 项 下 ， 可 选择 扫 摘 方式 。 选 择 “ 目 定义 扫 摘 ”， 可 任意 选取 扫描 的 目标 沁 围 ， 如 图 5-37 所 
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步骤 03: 在 等 待 扫 摘 完毕 之 后 ， 单 击 “ 目 定义 扫 摘 ”或 者 下 方 的 下 三 角 图 标 ， 将 会 显示 扫 拉 结果， 显示 如 图 2?-38 所 示 。 单 击 “ 在 
新 窗口 中 打开 扫 摘 ”链接 ， 即 可 打开 “计算 机 扫 摘 ”窗口 ， 在 其 中 可 得 看 扫 摘 的 详细 过 程 ， 如 图 ?-39 所 示 。 
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步骤 04: 单 击 左 侧 的 “设置 ”选项 卡 ， 可 选择 局 用 防护 ， 如 图 5-40 所 示 。 


步 又 05: 单 击 左 侧 “ 工 具 ” 选 项 卡 ， 在 其 中 可 查看 日 志文 件 、 设 定 计划 任务 、 查 看 防护 统计 以 及 被 隔离 的 文件 等 信息 ， 如 图 5-41 
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5.6.2 ”瑞星 杀毒 软件 

瑞星 全 功能 安全 软件 基于 “ 云 安全 ”系统 设计 的 新 一 代 互 联网 安全 产品 ， 将 杀毒 软件 与 防火 墙 的 无 颖 集成 、 整 体 联动 ， 极 大 降低 
计算 机 资源 上 白 用 ， 集 “拦截 、 了 防御、 得 杀 、 保 护 ”4 重 防护 功能 于 一 身 。 

将 瑞星 杀毒 安 竣 完毕 之 后 ， 束 可 以 利用 它 进行 病毒 的 防 学 和 但 杀 了 。 

使 用 瑞星 杀毒 软件 进行 杀毒 的 具体 操作 步骤 如 下 。 


步骤 01: 局 动 珊 星 杀毒 软件 ， 单 击 “ 杀 毒 ”选项 卡 ， 进 入 “杀毒 ”标签 页 ， 如 图 ?-42 所 示 。 其 中 有 “快速 得 杀 ”、 "Фа 
杀 ” 和 “ 目 定 义 查 杀 ”3 项 可 选 。 单 击 “ 目 定义 查 杀 ”会 弹出 “选择 得 杀 目 标 ” 对 语 框 ， 在 该 对 话 框 中 可 选择 需要 得 杀 的 目标 ， 进 行 
有 针对 性 的 查 杀 ， 如 图 5-43 所 示 。 
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{5-43 ”选择 查 杀 目标 


步骤 02: 单 击 “ 确 定 ” 按 钮 ， 则 开始 查 杀 相应 目标 ， 发 现 病毒 立即 清除 。 扫 摘 过 程 中 可 随时 单 击 “暂停 查 杀 ”按钮 来 暂时 停止 查 
杀 病 毒 ， 按 “继续 查 杀 ”按钮 则 继续 查 杀 ， 或 日 击 “ 停 止 但 杀 ” 按 钮 停止 全 杀 病毒 。 


步骤 03: 查 杀 病毒 过 程 中 ， 查 杀 的 病毒 以 及 可 疑 文件 将 显示 在 进度 条 下 方 ， 藻 瑞星 杀毒 软件 友 现 病毒 ， 则 会 将 文件 名 、 病 毒 名 、 
处 理 结果 以 及 路 径 显 示 在 此 窗口 中 ， 如 图 5-44 所 示 。 


步骤 04: 在 得 杀 结 束 后 ， 该 窗口 则 会 显示 共 扫 摘 对 象 、 共 耗 时 、 平 均 速度 以 及 共 查 杀 的 病毒 数 等 信息 ， 如 图 ?-45 所 示 。 
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5.6.3 ”使 用 U 盘 专 杀 工 具 USBKiller 查 杀 病 毒 

USBKiller 是 一 款 专 业 预 防 及 查 杀 U 盘 病毒 的 工具 ， 能 100% 阻 止 病毒 通过 U 盘 、 移 动 硬盘 感染 计算 机 ， 防 止 资 料 丢 失 、 账 号 被 
资 ， 还 可 以 利用 该 工具 制作 防毒 U 盘 。 该 工具 可 以 查 杀 auto.exe、 文 件 夹 图 标 、AV 终 结 者 等 上 和 干 种 顽固 U 盘 病毒 。 

使 用 U 盘 专 杀 工具 USBKiller 查 杀 病 毒 的 具体 步骤 如 下 。 


步骤 01: 下 载 并 安装 USBkiller 工 具 后 ， 选 择 “ 开 始 ” 一 “程序 ”一 UsSBKiller 一 USBKiller 荣 单项 ， 即 可 打开 "Uses 
”对 话 框 ， 如 图 5-46 所 示 。 
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步骤 02: 单 击 “ 下 一 步 ” 按 钮 ， 即 可 打开 “U 盘 病毒 检测 向 导 检 测 ” 对 话 框 ， 如 图 ?-47 所 示 。 在 其 中 即 可 对 插入 的 U 盘 进行 检 
测 。 在 USB 接 口中 插入 U 盘 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 即 可 打开 “U 盘 病毒 检测 向 导 扫 摘 ” 对 话 框 ， 如 图 ?-48 所 示 。 


UE dE ILS 


SRI ЕЕН USBKiller: 


E d 


1 :您 的 移动 存 傅 设备 (UE. ЖАЛЫНЫ. МРЗ) 
ОНЕР ARES 


Eu DEED Fuss. 
请 点 击 下 一 步 DAE. 


4546 “URRAMN EE” ЕЛЕ 


52 паметна" 


tar 


ШЕН ERI TAB те аа, ІЛЕ. ЖАП. МРЗ. 
БЕСІН ШЕР dis ^. FH Bus. 


ШЕКЕ На ИН ЕГ, ШАЙ ЕЕ. 
TE^. ЛЕ ка ERAO AAMER. 


4547 “О RN” НЕ 


步骤 03: 在 对 插入 的 U 盘 进行 扫 搬 后 ， 如 果 和 存在 病毒 的 话 ， 残 会 弹出 “购买 正式 版 完整 清除 病毒 ”对 话 框 ， 如 图 5-49 所 示 。 单 
击 “ 退 出 向 导 ” 按 钮 ， 即 可 打开 “是 人 否 确认 要 退出 病毒 检测 向 导 ” 提 示 框 ， 如 图 5-50 所 示 。 
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图 5-49 “购买 正式 版 完整 清除 病毒 ”对 话 框 


步 又 04: 单 击 “是 ”按钮 ， 即 可 打开 USBKiller V2.4 主 窗口 ， 在 “注册 软件 ”选项 卡 中 可 看 到 默认 的 “机 器 码 ”， 如 图 5-51 所 
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4551 “软件 注册 ”选项 卡 


步骤 05: 在 USBKiller V2.4 文 件 夹 中 运行 注册 机 程序 ， 即 可 打开 “USBkKiller 注 册 机 ”窗口 ， 如 图 5-52 所 示 。 将 默认 的 机 器 码 复制 
到 文本 框 中 ， 即 可 得 到 该 软件 的 注册 码 。 
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5-52 “USBKiller 注 册 机 ”窗口 


步骤 06: 复制 得 到 的 注册 码 到 “注册 软件 ”选项 卡 下 的 “注册 码 ” 文 本 框 中 ， 如 图 5-53 所 示 。 单 击 “保存 ”按钮 ， 重 局 
USBkKiller 软 件 即 可 完成 注册 。 此 时 如 果 在 USBKiller 主 窗口 中 即 可 看 到 “已 注册 ”字样 ， 则 表明 成 功 注 册 ， 如 图 5-54 所 示 。 


步 又 07: 选择 要 扫 摘 的 项 目 后 ， 单 击 “ 开 始 扫 摘 ” 按 钮 ， 即 可 进行 扫 摘 并 清除 病毒 ， 如 图 ?-55 所 示 。 企 “进程 管理 ”选项 卡 中 可 
看 到 本 地 计算 机 中 的 所 有 进程 ， 并 可 以 对 进程 执行 查询 、 终 止 等 操作 ， 如 图 5-56 所 示 。 


步骤 08: 选择 “实用 工具 ”选项 卡 ， 即 可 解除 U 盘 锁定 状态 、 设 置 移动 存储 安全 属性 等 ， 如 图 5-57 所 示 。 选 择 “ 免 疫 U 盘 ”选项 
卡 ， 在 其 中 多 选 “ 禁 止 目 动 运行 功能 ”和 “免疫 磁盘 ” 复 选 框 ， 如 图 5-58 所 示 。 


步骤 09: 蛙 击 “开始 免疫 ”按钮 ， 即 可 进行 免疫 操作 ， 可 看 到 “免疫 成 功 ” 提 示 框 ， 如 图 5-59 所 示 。 蛙 击 “确定 ”按钮 ， 即 可 完 
成 对 U 盘 的 免疫 操作 。 选 择 “ 修 复 系统 ”选项 卡 ， 即 可 对 Exe 文 件 关 联 、 无 法 打开 的 注册 表 工 具 、U 盘 中 文件 等 进行 修复 ， 如 图 5-60 所 
7. 
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图 5-54 成功 实现 注册 
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图 5-55 ”扫描 并 清除 病毒 
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图 5-56 “进程 管理 ”选项 卡 
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图 5-57 “实用 工具 ”选项 卡 
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图 5-58 “免疫 U 盘 ”选项 卡 
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图 5-59 “免疫 成 功 ” 提 示 框 
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4560 “修复 系统 ”选项 卡 


228810: 以 “修复 无 法 显示 文件 夹 选项 ”为 例 ， 勾 选 “ 修 复 无 法 显示 文件 夹 选项 ” 复 选 框 后 ， 即 可 进行 修复 ， 竺 人 
可 看 到 “修复 注册 表 成 功 ” 提 示 框 ， 如 图 5-61 所 示 。 单 击 OK 按 钮 ， 即 可 完成 修复 操作 。 
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5-61 修复 注册 表 成 功 ” 提 示 框 


步骤 11: 在 “选项 设置 ”选项 卡 中 可 设置 病毒 处 理 对 话 框 是 否 显 示 ， 还 可 以 设置 发 现 病 毒 时 的 处 理 方式 ， 如 图 5-62 所 示 。 
USBKiller V2.4 工 具 还 可 以 为 该 工具 设置 密码 ， 这 样 只 有 在 输入 正确 的 密码 情况 下 ， 才 可 以 退出 该 软件 。 单 击 “ 密 码 设置 ”按钮 ， 即 
可 打开 “密码 设置 ”对 话 框 ， 如 图 5-63 所 示 。 在 其 中 输入 要 设置 的 密码 后 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 成 功 为 该 软件 设置 一 个 密码 。 
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图 5-63 “密码 设置 ”对 话 框 


如 果 没 有 注册 UsBKiller 工 具 ， 则 清除 病毒 、 免 疫 U 盘 以 及 病毒 上 报 等 功能 融 无 法 实现 ， 所 以 在 使 用 该 工具 前 ， 需 要 使 用 注册 机 进 
行 注册 。 


第 6 章 ”木马 攻防 弟 用 工具 


近年 来 木马 非常 猩 狐 ， 不 但 通过 传统 的 电子 邮件 、 网 站 、 聊 天 工具 等 进行 传播 ， 甚 至 有 些 木马 还 隐藏 在 电影 文件 、 歌 曲 文件 中 。 
如 果 想 预防 和 清除 木马 ， 使 用 的 木马 专 杀 工具 是 非常 有 效 的 。 


Мар: 

认识 木马 

- 木马 的 伪 六 与 生成 

有 反弹 型 木马 的 经 典 灰 铝 子 
木马 的 加 过 与 脱 膏 


` 快速 查 杀 木马 


61 认识 木马 
木马 与 计算 机 网 络 中 常常 要 用 到 的 远程 控制 软件 有 些 相似 ， 通 过 一 段 特定 的 程序 木马 程序 ) 来 控制 另 一 台 计算 机 ， 从 而 达到 窃 


取 用 尸 资 料 、 破 坏 用 己 的 计算 机 系统 等 目的 。 


6.1.1 木马 的 友 展 历程 


木马 (Trojan) 一 词 来 源 于 上 古 希 腊 传说 集 马 史诗 中 木马 计 的 故事 。 木 马 程 序 技术 友 展 可 谓 非 常 迅速 ， 主 要 是 有 些 年 轻 人 出 于 好 
， 或 是 急于 显示 目 己 实力 ， 不 断 改 进 木马 程序 的 编写 。 全 今 木 马 程序 已 经 经 历 了 6 代 的 改进 。 


2j 


第 一 代 : ERRARE. ЕН ЕНУ МИ, ШЫН ҒИ аз, АР Жы ЖЕМІНЕ. 


第 二 代 : 在 技术 上 有 了 很 大 的 进步 ，“ 冰 河 ” 是 中 国 木 马 的 典型 代表 之 一 。 


第 三 代 : 主要 改进 在 数据 传递 拷 术 万 面 ， 出 现 了 ICMP 等 类 型 的 木马 ， 利 用 畸形 报 文 传递 数据 ， 增 加 了 杀毒 软件 查 杀 识别 的 难 


第 四 代 : 在 进程 隐藏 方面 有 了 很 大 改动 ， 及 用 了 内 核 插入 式 的 骨 入 方式 ， 利 用 远程 插入 线程 技术 ， 岩 入 DLL 线 程 。 或 者 挂 接 
PSAPI， 实 现 木 马 程序 的 隐藏 ， 甚 至 在 Windows NT/2000 下 ， 都 达到 了 民 好 的 隐藏 效果 。“ 灰 鸽子 ”和 “蜜蜂 大 次 ”是 比较 出 名 的 
DLL 木马 。 


第 五 代 : 驱动 级 木马 。 驱 动 级 木马 多 数 都 使 用 了 大 量 的 Rootkit 技 术 来 达到 深度 隐藏 的 效果 ， 并 深入 到 内 核 空 间 ， 感 染 后 针对 杀 
毒 软件 和 网 络 防 火 墙 进行 攻击 ， 可 将 系统 SSDT 人 初始化， 导致 杀毒 防火 墙 失 去 作用 。 有 的 驱动 级 木马 可 驻 留 BIOS， 并 且 很 难 查 杀 。 


第 六 代 : 随 着 身份 认证 UsbKey 和 杀毒 软件 主动 防御 的 兴起 ， 医 虫 技 术 类 型 和 特殊 反 显 拷 术 类 型 木马 逐 浙 开始 系统 化 。 前 者 主要 
以 盗 取 和 纂 改 用 户 敏感 信息 为 主 ， 后 者 以 动态 口令 和 硬 证 书 攻击 为 主 。PassCopy 和 “暗黑 蜂 蛛 侠 ” 是 这 类 木马 的 代表 。 


6.1.2 木马 的 组 成 


一 个 完整 的 木马 由 3 部 分 组 成 : 硬件 部 分 、 软 件 部 分 和 具体 连接 部 分 。 这 3 部 分 分 别 有 着 不 同 的 功能 。 

(1) 硬件 部 分 

硬件 部 分 是 捐 建 立木 马 连 接 必需 的 硬件 实体 ， 包 括 控制 岂 、 服 务 端 和 internet 三 部 分 。 

1) feum: 对 服务 端 进 行 远程 控制 的 一 端 。 

2) 服务 端 : 被 控制 端 远 程控 制 的 一 端 。 
3) Internet: 是 数据 传输 的 网 络 载 体 ， 控 制 端 通 过 Internet 远 程控 制服 务 端 。 

(2) 软件 部 分 
软件 部 分 是 捐 实 现 远 程控 制 所 必需 的 软件 程序 ， 主 要 包括 控制 端 程序 、 服 务 端 程序 、 木 马 配 置 程序 3 部 分 。 
1) Вертов РР: 控制 端 用 于 远程 控制 服务 并 的 程序 。 


2) 服务 端 程 序 : 又 称 为 木马 程序 。 它 潜藏 在 服务 端 内 部 ， 同 指定 地 点 友 送 数据 ， 如 网 络 游 戏 的 密码 、 即 时 通信 软件 密码 和 用 户 
上 网 密码 等 。 


3) 木马 配置 程序 : 用 户 设 置 木马 程序 的 端口 号 、 触 友和 条件、 木马 名 称 等 属性 ， 使 得 服务 端 程 序 在 目标 极端 中 潜藏 得 更 加 隐 向 。 
(3) 具体 连接 部 分 


具体 链接 部 分 是 指 通 过 Internet 在 服务 端 和 控制 端 之 间 建 立 一 条 木马 通道 所 必需 的 元 素 ， 包 括 控制 并 / 服 务 端 IP 和 控制 端 / 服 务 端 


im PS. 
1) emm P: 是 木马 控制 并 和 服务 端的 网 络 地 址 ， 是 木马 传输 数据 的 目的 地 。 


2) 9530тг: 是 木马 控制 端 和 服务 端的 数据 入 口 ， 通 过 这 个 入 口 ， 数 据 可 以 直达 控制 端 程序 或 服务 端 程序 。 


6.1.3 ”木马 的 分 类 


随 着 计算 机 拉 术 的 友 展 ， 木 马 程序 技术 也 友 展 迅速 。 现 在 的 木马 已 经 不 仅仅 具有 单一 的 功能 ， 而 是 集 多 种 功能 于 一 身 。 根 据 木 马 
功能 的 不 同 将 其 划分 为 破坏 型 木马 、 远 程 访 问 型 木马 、 密 码 友 送 型 木马 、 键 盘 记 录 木 号 、DOS 攻 击 木 马 等 。 
(1) 破坏 型 木马 


这 种 木马 的 唯一 功能 束 是 破坏 并 且 删 除 计算 机 中 的 文件 ， 非 党 危险 ， 一 旦 被 感 染 束 会 严重 威胁 到 计算 机 的 安全 。 不 过 像 这 种 恶意 


破坏 的 木马 ， 黑 客 也 不 会 随意 传播 。 
(2) 远程 访问 型 木马 


这 种 木马 是 一 种 使 用 很 广泛 并 且 有 危害 很 大 的 木马 程序 。 它 可 以 远程 访问 并 且 直 接 控 制 极 入 侵 的 计算 机 。 从 而 任意 访问 该 计算 机 中 
的 文件 ， 获 取 计 算 机 用 户 的 私信 人 信息， 例如 银行 账号 和 密码 等 。 


(3) адалы 


这 是 一 种 专门 用 于 盗 取 目标 计算 机 中 密码 的 木马 文件 。 有 举 用 户 为 了 方便 使 用 Windows 的 密码 记忆 功能 进行 登录 ， 从 而 不 必 每 
次 都 输入 密码 ; 有 些 人 喜欢 将 一 些 密码 信息 以 文本 文件 的 形式 仓 放 于 计算 机 中 。 这 样 确实 为 用 户 市 来 了 一 定 方便 ， 但 是 却 正 好 为 密码 
发 送 型 木马 市 来 了 可 乘 之 机 ， 它 会 在 用 尸 未 曾 友 哆 的 情况 下 ， 搜 集 密码 友 送 到 指定 的 邮箱 ， 从 而 达到 盗 取 密码 的 目的 。 


(4) 键盘 记录 森马 


这 种 木马 非常 简单 ， 通 常 只 做 一 件 事 ， 就 是 记录 目标 计算 机 键盘 敲 击 的 按键 信息 ， 并 且 在 LOG 文 件 中 查找 密码 。 该 木马 可 以 随 着 
Windows 的 启动 而 启动 ， 并 且 有 在 线 记 录 和 离线 记录 两 个 选项 ， 从 而 记录 用 户 在 在 线 和 离线 状态 下 敲 击 键盘 的 按键 情况 ， 从 中 提取 
密码 等 有 效 信息 。 当 然 这 种 木马 也 有 邮件 发 送 功能 ， 需 要 将 信息 发 送 到 指定 的 邮箱 中 。 


(5) DOS 攻 击 木马 


随 着 DOS 攻 击 的 广泛 使 用 ，DOS 攻 击 木 马 使 用 的 也 越 来 越 多 。 黑 客 入 侵 一 台 计 算 机 后 ， 在 该 计算 机 上 种 上 DOS 攻 击 木 马 ， 那 么 


以 后 这 从 计算 机 (肉鸡 ) 也 会 成 为 黑客 攻击 的 帮手 。 黑 客 通 过 扩 元 控制 “肉鸡 ”的 数量 来 提高 DOS 攻 击 的 成 功率 。 所 以 这 种 木马 目的 
不 是 感染 一 台 计 算 机 ， 而 是 通过 它 攻 击 一 台 又 一 侣 计算机， 从 而 造成 很 大 的 网 络 伤害 并 且 市 来 损失 。 
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621 жау 

由 于 越 来 越 多 的 人 对 木马 的 了 解 和 防范 意识 的 加 强 ， 对 木马 传播 起 到 了 一 定 的 抑制 作用 ， 为 此 ， 木 马 设计 者 们 就 开发 了 多 种 功能 
来 伪装 森马， 以 达到 降低 用 户 警觉 ， 欺 骗 用 户 的 目的 。 

下 面 就 来 详细 了 解 木马 的 常用 伪装 方法 。 

(1) 修改 图 标 


现在 黑客 已 经 可 以 将 木马 服务 端 程 序 的 图 标 改 成 HTML、TXT、ZIP 等 各 种 文件 的 图 标 ， 这 残 具备 了 相当 大 的 迷惑 性 。 不 过 ,目前 
提供 这 种 功能 的 木马 还 很 少见 ， 并 且 这 种 伪 妆 也 极 易 识破 ， 所 以 完全 不 必 担 心 。 


(2) 冒充 图 片 文件 


这 是 许多 黑客 党 用 来 骗 别 人 执行 木马 的 万 法 ， 殊 是 将 木马 北 成 图 像 文 件 ， 比 如 说 是 照片 等 ， 应 该 说 这 样 是 最 不 合 远 辑 的 ， 但 却 使 


很 多 人 中 招 。 只 要 入 侵 者 扮 成 美眉 及 更 改 服务 端 程序 的 文件 名 为 “类 似 ” 图 像 文件 的 名 称 ， РИБКА AEE, Беата А 
ТУРЕ. 


(3) ХЕ 


恶意 捆绑 文件 伪 委 手段 是 将 木马 捆绑 到 一 个 安 委 程序 上 ， 当 用 户 在 进行 该 程序 安 委 运 行 时 ， 木 马 融洽 偷 地 潜入 了 系统 。 这 种 伪 委 
手段 是 将 木马 捆 缕 到 一 个 安 北 程序 上 ， 当 安装 程序 运行 时 ， 木 马 在 用 户 写 无 察 狗 的 情况 下 ， 偷 偷 地 进入 了 系统 。 被 捆绑 的 文件 一 般 是 
可 执行 文件 ( 即 EXE、COM 一 类 的 文件 ) 。 这 样 对 一 般 人 的 迷惑 性 很 大 ， 而 且 即 使 他 以 后 重 浴 系 统 了 ， 如 果 他 的 系统 中 还 保 仓 了 那 
个 “游戏 ”， 束 有 可 能 再 次 中 招 。 


(4) 出 错 信 息 显示 


众所周知 ， 当 打开 一 个 文件 时 如 果 没 有 任何 反应 ， 很 可 能 束 是 个 木马 程序 。 为 规避 这 一 缺陷 ， 已 有 设计 者 为 木马 提供 了 一 个 出 错 
显示 功能 。 该 功能 使 得 在 用 户 打 开 木 马 程序 时 ， 弹 出 一 个 假 的 出 钳 信 息 提 示 框 〈 内 容 可 目 由 定义 ) ， 多 是 一 些 诸如 “文件 已 破坏 ,无 
法 打开 ! ”之 类 的 信息 ， 当 服务 端 用 尸 信以为真 时 ， 木 马 已 经 悄悄 侵入 了 系统 。 


(5) 把 木马 伪 委 成 文件 夹 


把 木马 文件 伪 北 成 文件 夹 图 标 后 ， 放 在 一 个 文件 来 中 ， 然 后 在 外 面 册 人 套 三 四 个 空 文件 来 ， 很 多 人 出 于 习惯 连续 点 击 ， 操 到 那个 伪 
涂 成 文件 夹 木 马 时 ， 也 会 不 由 目 主 点 下 去 ,这样 木 马 丈 成 功 运行 了 。 识 别 方 法 : 不 要 隐藏 系统 中 已 各 文 件 类 型 的 扩展 名 称 。 


(6) 给 木马 服务 端 程序 更 名 


木马 服务 端 程序 的 命名 有 很 大 的 学 问 。 如 果 不 做 任何 修改 ， 束 使 用 原来 的 名 字 ， 谁 知道 这 是 不 是 个 木马 程序 呢 ? 所 以 木马 的 命 
也 是 干 奇特 怪 。 不 过 大 多 是 改 为 和 系统 文件 名 磊 不 多 的 名 字 ， 如 果 用 己 对 系统 文件 不 够 了 解 ， 可 就 危险 了 。 例 如 有 的 木马 把 名 字 改 为 
window.exe， 还 有 的 丈 是 更 改 一 些 后 缀 名 ， 比 如 把 dll 改 为 d11 等 (注意 ， 是 数 子 “11” 而 非 严 文子 母 “lI”) 等 。 

(7) 自我 销毁 


由 于 在 服务 端 用 尸 打 开 含 有 木马 的 文件 后 ， 木 马 会 将 目 己 复制 到 Windows 的 系统 文件 夹 中 (一般 位 于 C: 
WindowsNsystem) , 一般 来 咬 ， 原 木马 文件 和 系统 文件 夹 中 的 木马 文件 大 小 一 样 (捆绑 文件 的 木马 除外 ) ， 只 要 在 近来 收 到 的 信 
件 和 下 载 的 软件 中 找到 原木 马 文件 ， 骨 根据 原木 马 的 大 小 去 系统 文件 夹 中 查找 相同 大 小 的 文件 ， 判 断 一 下 哪个 是 木马 即 可 。 


6.2.2 НЕЕ ӘС 
随 着 网 络 安全 水 平 的 提高 ， 木 马 很 容易 就 被 查 杀 出 来 ， 因 此 木马 种 植 者 就 会 想 出 各 种 办 法 伪装 和 隐藏 自己 的 行为 ， 利 用 WinRAR 
自 解压 功能 捆绑 木马 就 是 手段 之 一 . 


步骤 01: 将 要 捆绑 的 文件 放 在 同一 个 文件 夹 内 ， 如 图 6-1 所 示 。 同 时 选 定 需要 捆绑 的 文件 后 右 击 ， 在 弹出 的 快捷 菜单 中 单 击 “ 添 
加 到 压缩 文件 ”命令 ， 如 图 6-2 所 示 。 
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图 6-1 有 要 捆绑 的 文件 
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步骤 02: 打开 “压缩 文件 名 和 参数 ”对 话 框 ， 勾 选 “ 创 建 目 解 压 格 式 压缩 文件 ” 复 选 框 ， 如 图 6-3 所 示 。 切 换 至 高 级 选项 卡 ， 
击 “ 目 解压 选项 ”按钮 ， 如 图 6-4 所 示 。 
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添加 到 压缩 文件 


ns eR S CA). 
"RE "gra > [=E (2].rar' iT 


ES 


ЕТТЕН 
Еу (А) 
ҰЕҒУНҢБЕ (2). ехе 
添加 并 蔡 换 文件 


БЕЗЕУ PETRA ЕЮ 
ә RAR (R) ТЕБЕ sz PE CL) 


^) ZIP (Z) УБ ER E f EE SC 00 
ТВ = e Sa Sr PF (S) 
E5875. (С) 回 添 加 用 户 身份 核验 信息 (m) 
^ | 加 添加 恢复 记录 (Р) 
压缩 分 卷 大 小 字 节 00 OMERA E) 
BETEAN AI Ено 


图 6-3 “压缩 文件 名 和 参数 ”对 话 框 


常规 | 高 级 ай [xe | 备份 [на | 注释 | 
NTFS 选项 恢复 记录 
辣 保 存 文件 安全 数据 ©) те 
国保 存 文件 流 数据 т) | 


ОН и [£258 (С)... 
每 个 分 卷 操作 完 之 后 暂停 V) | 


ПВР 0) 


ВВА 00... 
iind) (Р)... 


=== 

; а. | Н КЫН IE ік 
| “тч | | 

П rho ET [| 

= T | ұл РЕ Г, = 

= : 


一 一 一 一 | 


r 后 台 压 缩 @) 
器 完 成 操作 后 关闭 计算 机 电源 (F) 
OREG WinRAR 副本 被 激活 则 等 竺 六) 


图 6-4 “高 级 ”选项 卡 


步骤 03: 打开 “高 级 目 解 压 选项 ”对 话 框 ,切换 全 “模式 ”选项 卡 ， 选 中 “全 部 隐藏 ” 单 选项 ， 如 图 6-5 所 示 。 


步骤 04: 切换 全 “文本 和 图 标 ”选项 卡 ， 填 写 “ 目 解压 文件 窗口 标题 ”以 及 “ 目 解 压 文件 窗口 中 显示 的 文本 ”， 单 击 “ 确 定 ” 控 
tH, 如 图 6-6 所 示 。 
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图 6-5 “模式 ”选项 卡 
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图 6-6 “文本 和 图 标 ” 选 项 卡 
步骤 05: 返回 “压缩 


压缩 文件 名 和 参数 ”对 话 框 ， 查 看 注释 内 容 并 单 击 “ 确 定 ” 按 钮 ， 如 图 6-7 所 示 。 在 文件 存储 位 置 即 可 查看 到 生 
成 的 目 解压 的 压缩 文件 ， 如 图 6-8 所 示 。 


MX PERROS C) 


手动 输入 注释 内 容 C) 
ТИНТЕ ГЕЯ 


silentzl 
litle-acdzea-pro-5-32bit. аха 


Text 
I 


acdsee-pro-5-32bit. ехе) 


图 6-7 “压缩 文件 名 和 参数 ”对 话 框 
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图 6-8 查看 生成 的 目 解 压 的 压缩 文件 


6.2.3 СНМЖЫБ ӘС 


CHM 木 马 的 生成 过 程 就 是 将 一 个 网 页 木马 添加 到 CHM 电 子 书 中 ， 用 户 在 运行 该 电子 书 时 ， 木 马 也 会 随 之 运行 。 在 制作 CHM 林 
马 前 ， 一 般 需要 准备 3 个 软件 ，QuickCHM 软 件 、 木 马 程序 以 及 CHM 电 子 书 。 准 备 好 之 后 ， 便 可 通过 反 编 译 和 编译 操作 将 木马 添加 到 
<cHM 电 子 书 中 。 所 以 用 户 在 下 载 CHM 电 子 书 时 要 注意 尽量 到 一 些 安全 的 网 站 下 载 ， 避 免 CHM 电 子 书 夹带 木马 。 


下 面 曝光 CHM 木 马 生 成 过 程 。 


步骤 01: 准备 好 3 个 必 备 软件 ， 双 击 chm 文 档 ， 如 图 6-9 所 示 。 打 开 CHM 电 子 书 ， 右 击 界面 任意 位 置 ， 在 弹出 的 快捷 荣 单 中 单 
击 “ 属 性 ”命令 ,如 图 6-10 所 示 。 
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H6-9 3 个 必 备 软件 
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СНМ1й т 7 


K6-10 CHM 电子 书 


步骤 02: 打开 “属性 ”对 话 框 ， 记 录 当 前 页 面 的 默认 地 址 ， 然 后 单 击 “ 确 定 ” 按 钮 ， 如 图 6-11 所 示 。 


步骤 03: 在 记事 本 中 编写 网 页 代码 ， 并 将 上 一 步 中 记录 的 地 址 和 木马 程序 名 称 添 加 到 代码 中 ， 如 图 6-12 所 示 。 


步骤 04: 依次 单 击 “文件 ”一 “另存 为 ”命令 ,打开 “另存 为 ”对 话 框 ,填写 文 件 名 ,注意 后 缀 为 .html， 然 后 单 击 “ 保 存 ” 按 
钮 ， 如 图 6-13 所 示 。 


步 又 05: 启动 QuickCHM 软 件 ， 依 次 单 击 “ 文 件 ” 一 “ 反 编 译 ” 命 令 ， 如 图 6-14 所 示 。 


找 的 电脑 | 保护 模式 : Ж] 


nk: GMSITStore:E: ВУ ËR EA E 1 下 
S RET PX help chm Cy HH ad T 


大 小 : 个 可 用 


创建 时 间 | 
ЕРУІН: 


图 6-11 记录 当前 页 面 的 默认 地 址 


7] яка - 记事 志 — | E) Хо 
УКР ЕЕ МО) #FE(V) 才 助 (H) 

“<html> " 
*head» 


&meta http-equiv-" refresh 
content- 3.;url4 /AboutQuickCHM. htm > 
</head> 

{body> 

<object width=0 height-0 

я, display:none.” 
type-"application/x-oleobject" codebase-" 


леса» 
</body> 
</html> 


图 6-12 ”编写 网 页 代码 


d cmd 


tutu Disk (AW) 
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ИШ ALBOQDIETPGRS ` 


ЖЕНЕМЕ: ihtml 


图 6-13 


“另存 为 ”对 话 框 


БЕЙНЕЯ 
2014/2/10 16:20 
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图 6-14 Æ 3jQuickCHM AX F 
步骤 06: 在 弹出 的 “ 反 编 译 ” 对 话 框 中 选择 电子 书 路 径 以 及 反 编 译 后 的 文件 仓储 路 径 ， 然 后 单 击 “ 确 定 ”按钮 ， 如 图 6-15 所 示 。 


步骤 07: 在 文件 保 仔 位 置 查看 反 编 译 后 的 文件 ， 在 所 有 文件 中 找到 后 缀 名 为 .hhp 的 文件 ， 如 图 6-16 所 示 。 


QuickCHM 2.6 ЕСІНЕ = 
ЕНІН EO #3) ME) Елба До тар (М 选项 (P) 帮助 {H) i 
un mi ра пеша | i Format | Elemert | Table | “ік 
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Hl Т Eepyight2001-X д 


6-15 “RAR” НЕЕ 


a жене 


bem ‚ НЕЙ + жез ГЕ) ТЕПТЕ аналы, ШЕР + мл,» ERED + 
HHA ШІ) Ши LAM НН) 
Hu = Ку Coen with Quick CHM + 


d images 2014/2/10 16:55 HH 
E| AboutQuickCHBM.htm 2014/2710 16:55 360 se HTML Da... 
E| DeCcomqpile. htm М114/2/10 16:5: 0 ве HTML Da... 
€| FEEDBACE.HTM 2014/2/10 16:55 360 ве HTML Do... 
= Нес, Ам 2014/27/10 16:55 360 се HTML Cr 
| | halp.hhc 2014/72/10 16:55 |< 
[ы] həlp.hhk 014/2/10 16:55 
Же help.hhp 2014/2/10 16:55 
E| Keybaoard.htm 2014/2/10 16:55 
= Newl.htm 2014/2/10 16:55 
E| Нема hirm 2014/2/10 16:55 
&) Меке. htrn 2014/2/10 16:55 
E] Маме Мрт 2014/2/10 16:55 
E] Register.htm 2014/2/10 16:55 
E| SatupiOuickCHM. htm 2014/2/10 16:5: 
П Usec hrn htm 2013/2/10 16:55 
ж Wizard.htrm 2014/2/10 16:55 


56-6 ”查看 反 编译 后 的 文件 
步骤 08: 用 记事 本 打开 .hhp 文 件 ， 查 看 .hhp 文 件 对 应 的 代码 ， 如 图 6-17 所 示 。 


步骤 09: 修改 .hhp 文 件 代码 ， 在 代码 中 添加 之 前 编写 的 网 页 文件 名 以 及 木马 名 ， 并 保存 文件 ， 如 图 6-18 所 示 。 


Е help.hhg - 585 

тін еве АЕО) ЗЕМ | 帮助 (H] 
[OPTIONS] 
Compatibility=1.1 
Compatibility=1.1 Or later 
Default Window-Main 
Contents file=help. hhe 
Index file=help. hhk 
Default Жол К MESS, 9, 1 


Language-0x804 rH v (А, (BE) 


[WINDOWS] 
Main= help,” help. hhe” 


[FILES]| 


图 6-17 查看 .hhp 文 件 对 应 的 代码 


, help.hhk^ 
Ox 104E, [400, 1, 800, 4511, 0x0, 0х0,,,,,0 


TE 


0x20, 150, 


а help.hhp - 记号 本 се ра w 
жена ЗЕЕ №550) ЕСИ 才 助 (HI 
[OPTIONS] 

Compatibility-1l.1 

Compatibility-1.1 Or later 
Default Window-Main 
Contents file=help. hhe 

Index file-help. hbk 
Default Ғопі= EX Ji 

Language-Ux804 中 文 (简体 ， 中 国 ) 


[WINDOWS] 


Main=”help”, "help. hhc^, "help. ВВК”, "1. html”, |, ,,,0 


|*20, 150, Ox 104E, 1400, 1, 800, 4511, 0x0, 0х0 


ТРЕЕ 


[res] 


图 6-18 ”修改 .hhp 文 件 代码 


229810: 将 前 面 编写 的 网 页 文件 (1.html) 和 木马 文件 (木马 .exe) 复制 到 反 编 译 后 的 文件 夹 中 ， 如 图 6-19 所 示 。 


步骤 11: 重新 运行 QuickCHM 软 件 ， 依 次 蛙 击 “文件 ”一 “打开 ”命令 ， 如 图 6-20 所 示 。 


CUM Lo» нап › ааа) 新 建文 件 夫 HANE › ЖеВРТЕВ › БЕСІНЕ» 反 纺 译文 件 , 


— 编辑 (E) ”查看 (Vi тат авн) 
Енн ”电子 邮件 тун 
= 

k Images 


| [e Lhtml 


UE) иен е AboutQuickCHM.htm 


е DeCompile.htm 
Ба = £| FEEDBACK.HTM 


БЕ е Filelist.htm 
[m] ppTV 视 频 一 
| | help.hhc 


Bd uum [2 help.hhk 
ы EIE 引 help.hhp 
Ë MASI е Keyboard.htm 
Es) ЧЕК È| Newl.htm 
E| New2.htm 
ë) New3.htm 
E| Newt. htm 
局 | Register.htm 
е Бетирбиккснм тт 
е UseChm.htm 
&| Wizard.htm 


修改 日 期 


2014/2/10 16:55 
2014/2/10 16:39 
2014/2/10 16:55 
2014/2/10 16:55 
2014/2/10 16:55 
2014/2/10 16:55 
2014/2/10 16:55 
2014/2/10 16:55 
2014/2/10 17:16 
2014/2/10 16:55 
2014/2/10 16:55 
2014/2/10 16:55 
2014/2/10 16:55 
2014/2/10 16:55 
2014/2/10 16:55 
2014/2/10 16:55 
2014/2/10 16:55 
2014/2/10 16:55 


2014/2/10 11:24 


МЕ 


300 se HTML Do... 


360 se HTML Do... 


360 се HTML Do... 
560 se HTML Do... 


360 se HTML Da... 
НИС 72744 
HHK File 
HHP 244 


260 се HTML Do... 
360 зе HTML Do... 
360 se HTML По... 


300 se HI ML Do... 
360 зе HTML Do.. 


360 se HTML Do... 
360 se HTML Do... 


360 se HTML Do... 
360 se HTML Do... 


66-10 ”改变 网 页 文件 和 木马 文件 位 置 


22812: 人 在“ 打开 ”对 话 框 中 选 定 刚才 修改 过 的 help.hhp 文 件 ， 并 单 击 “打开 ”按钮 ， 如 图 6-21 所 示 。 返 回 QuickCHM 软 件 主 
界面 ， 依 次 蛙 击 “文件 ”一 “编译 ”命令 ， 如 图 6-22 所 示 。 


步骤 13: 编辑 完成 后 ， 人 在 是 人 否 运行 提示 框 中 单 击 “ 否 ”按钮 ， 如 图 6-23 所 示 。 此 时 CHM 电 子 书 木 马 已 经 制作 完成 ， 生 成 的 电子 
书 保存 在 肥 编 译文 件 夹 内 。 
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图 6-20 ”重新 运行 QuickCHM 软 件 
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4621 “打开 ”对 话 框 


Es QuickCHM 26- БЕЗ 
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ниго ЕЕ. 


n Copyright 2001-2€ 2. 


96-22 ”QuickCHM 软 件 主 界面 


3 QuickCHM 2.6 - [未 注册 ] - help.hhy | 
НЕ зо) ЖӘЙ) SSE ТИМ) EAN О) ЖЕҢІ ВЕР) БЕІН) 


а-в + юс хавх 1-9 sor [reme Tatio | ele 


N Ш на | 


ight 2001-2( « 


4623 是否 运行 提示 框 
提示 


使 用 360 安 全 了 卫士、 瑞星 杀毒 软件 、 金 山 毒霸 等 即 可 查 杀 并 清除 CHM 木 马 。 


6.3 Яа НУ, 


МЕВАИ Е, АТУЫН, ЖА МЕНЕ ЈА К, МЫН АЖ. WARIH ова НАЙТ 
文件 (SUEXE, СОМ) , ЯШ, 23670505 — P Mr, RIRFIQQSLFSTHBUEARTS RIA, КАРАТ ТИР 
НУЫН], ИТ НЫ, БЕРН КНК НЕА, ПОНЕЖЕ ана 7, АЗОТТА ТИН КН 
小戏 文件 ， 融 可 能 再 次 中 招 。 


6.3.1 ЖЫВЕ 


"EXE 捆绑 机 ”可 以 将 两 个 可 执行 文件 (EXE 文件 ) 捆绑 成 一 个 文件 ， 运 行 捆绑 后 的 文件 等 于 同时 运行 了 两 个 文件 。 它 会 目 动 更 
改 图 标 ， 使 捆绑 后 的 文件 与 押 绑 前 的 文件 图 标 一 样 。 


下 面 将 会 曝光 “EXE 捆 绑 机 ”生成 捆绑 木马 的 过 程 。 


步骤 01: ҚЫТ “ХЕ ТА, БЕТІН "EXEHNZMJV ERE, SUÉd6-24B rz. Euh "ах ЕЗ Га Т 
文件 ”按钮 ， 即 可 打开 “请 指定 第 一 个 可 执行 文件 ”对 话 框 ， 如 图 6-25 所 示 。 


ЕХЕ, 8.3 版 - 网 站 : www.netthief.net QQ : 1050271066 


Век 第 一 个 可 执行 女 件 ] 
ОЕ TORTS 这 是 第 一 个 括 绪 交 件 ， 捆 和 寺 后 的 况 件 将 与 它 一 样 ， 
p е | 


АРТУРА: 


点 击 这 里 ЗЕ TalihiT PE 


Е, йа “pE” o 


图 6-24 “EXE 捆绑 机 ” 主 界 面 


请 指定 第 一 个 可 执行 文件 : 


@ | L = ACD.，，ACDSesprow62212nclKe. 


组 如 = ЕНЕСІН 


--2- EIME acdsee-pra-6-3 
[Гл ®--=-— | 2bt exe 
са tutuDisk ДІЛ) 


ШЫ MSN 上 的 "FER 


«ш р 
м МЕООТЕТРОКУ 
ПЕ KG 


НЕМ: acdsee-pro-6-32bitexe 


图 6-25 “请 指定 第 一 个 可 执行 文件 ”对 话 框 


步骤 02: 在 其 中 选择 要 执行 的 文件 ， 单 击 “ 打 开 ” 按 钮 ， 即 可 在 “EXE 捆 绑 机 ” 主 界面 中 看 人 到) 湛 加 的 可 执行 文件 ， 如 图 6-26 所 
单 击 “ 下 一 步 ” 按 钮 ， 即 可 打开 “指定 第 二 个 可 执行 文件 ”对 话 框 ， 如 图 6-27 所 示 。 


e | 
2 
о 


EXERSA 8.3 版 - MISE : wwwnethiehnet QQ:1050271060 | 


[指定 第 一 个 可 执行 文件 ] 
请 指 宁 惠 一 个 可 执行 文件 ， 这 是 第 一 个 捆 纤 文件 ， 捆 拖 后 的 文件 将 与 它 一样 ， 
EHE. 


第 一 个 可 执行 驻 件 的 踏 径 为 _ 二 
ПАЛЕ ГЕТ E] ACDSeeFrog. 1.197 Lite А Hp ЕЕ 


| 点击 这 里 指定 第 一 个 本 执行 文件 


要 继续 ,请 点 击 “下 一 步 ”。 


图 6-26 ”添加 的 可 执行 文件 


[指定 第 二 个 可 执行 文件 
请 提 定 第 一 个 可 执行 文件 ， 这 是 第 一 个 押 乡 文件， 所 时 后 的 文件 桂 看 不 到 它 的 


第 二 个 可 执行 文件 的 路 径 为 ， 


AZE 指定 第 二 个 可 执行 艾 件 


要 继续 ， 请 点 击 “下 一 步 ”。 


< Ев ТЕ > 


图 6-27 “指定 第 二 个 可 执行 文件 ”对话 框 


步 又 03: 单 击 “ 点 击 这 里 指定 第 二 个 可 执行 文件 ”按钮 ， 即 可 打开 “请 指定 第 二 个 可 执行 文件 ”对 话 框 ， 如 图 6-28 所 示 。 在 其 中 
选择 要 执行 的 木马 文件 ， 单 击 “ 打 开 ” 按 钮 ， 即 可 在 “EXE 捆 绑 机 ” 主 界面 中 看 到 添加 的 木马 文件 ， 如 图 6-29 所 示 。 
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22 EDE 
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съ tutuDick (МА) 
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ыды 4 公用 文档 (5) 
ЙМ ALBODIETPGKM | СА 
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"a Кг 


ЕЕ Lexe 


mH, 8.3 Me - МАЗ: www,netthief.net QQ : 1050271066 


[指定 第 二 个 可 执行 文件 ] 
БҰҒАЗ апу устш иниси чис! 


& rar PEE BIS 21: 


D: Documents^l. ехе 


点 击 这 里 指定 第 二 个 可 执行 文件 


要 继续 ， 请 点 击 “下 一 步 ”。 


< 上 一 步 (B) 下 一 步 (N) > 


图 6-29 ”添加 的 木马 文件 


步骤 04: 单 击 “ 下 一 步 ” 按 钮 ， 即 可 打开 “指定 保存 路 径 ” 对 话 框 ， 如 图 6-30 所 示 。 此 时 需要 指定 捆绑 后 文件 的 保存 路 径 和 名 
， 这 里 需要 指定 为 第 一 个 可 执行 文件 名 称 。 单 击 “ 点 击 这 里 指定 保存 路 径 ” 按 钮 ， 即 可 打开 “另存 为 ”对 话 框 ， 如 图 6-31 所 示 。 


[指定 保存 哨 径 1 
НЕЕ ЕНУХ РЕЯ ТЕЗ 


保存 路 径 为 


点 击 这 里 指定 保存 路 径 


жін Aah“ PE" ° 


< E— 0) | TE) > 


图 6-30 “指定 保存 路 径 ” 对 话 框 


Жа A а "7h Һа ы 840 
Ire c Ge. ы кт р С. Лы е L z 


==-- hhe асдеве-рго-6-3 ЖЕТЕР 
= ЕП E--== 2hit.exe TTRAR.co 


АНЕ ПМ» acdsee-pro-6-327 bitaxe] 
RERUM: | 程序 文件 (ene 


图 6-31 “另存 为 ”对 话 框 


步 又 05: 在 设置 完 保 存 位 置 和 名 称 后 ， 单 击 “ 保 和 全 ” 按 钮 ， 即 可 在 “指定 保存 路 径 ” 对话 框 中 看 到 设置 的 保存 路 径 ， 如 图 6-32 所 
。 单 击 “ 下 一 步 ”按钮 ， 即 可 打开 “选择 版 本 ”对 话 框 ,在 “版 本 类 型 ”下 拉 列 表 中 选择 “普通 版 ”选项 ， 如 图 6-33 所 示 。 


E 


步骤 06: 单 击 “ 下 一 步 ” 按 钮 ， 即 可 打开 “捆绑 文件 ”对 话 框 ， 如 图 6-34 所 示 。 单 击 “ 点 击 这 里 开始 捆绑 文件 ”按钮 ， 即 可 开始 
进行 文件 捆绑 。 待 捆绑 结束 之 后 ， 即 可 看 到 “ 摘 绑 文件 成 功 ”提示 框 ， 如 图 6-35 所 示 。 单 击 “ 确 定 ”按钮 ， 即 可 结束 文件 的 捆绑 。 


在 执行 过 程 中 最 好 将 第 一 个 可 执行 文件 选择 为 一 个 正 第 的 可 执行 文件 ， 第 二 个 可 执行 文件 选择 为 木马 文件 ， 这 样 捆绑 后 的 文件 图 
标 会 与 正常 的 可 执行 文件 图 标 相同 。 


И 8.3 hg - 网 站 : www.netthief.net QQ : 1050271066 


[指定 保存 路 径 ] 
НЕЛЕ РБА У АЕТ ЗИРЕ 


кА ЗЕЕ ЇН 


виц, 请 点 击 “ 下 一 步 ”。 


< 上 一 步 @8)| 下 一 步 如 >| 取消 | 


图 6-32 “指定 保存 路 径 ” ”对话 框 


ЕХЕ 17, 8.3 - 网 站 : www.netthief.net QQ : 1050271066 


[选择 版 本 : 
请 选择 次 件 的 版 本 类 型 。 


КАЕ GERD 
ZRA, sh i. 


gii. geht "TRIBUS 


图 6-33 “选择 版 本 ”对话 框 


НЕРУ 
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图 6-34 “捆绑 文件 ”对 话 框 


ЕХЕ 8817, 8.3 版 - 网 站 : www.netthief.net QQ : 1050271066 UE 


[ЯКЫ ТЕЕП 


НЕ ГРА КАН ес ЕПТ, Е ПАНЕЛА УХ 


要 六 出 ， 信息 击 “ 取消 本 w 


图 6-35 “捆绑 文件 成 功 ” 提 示 框 


6.3.2 % ЕЛ ЕЕҢНУММІП КАК)Ж УЫ 

利用 WinRAR 的 压缩 功能 可 实现 捆绑 森马。 下面 的 例子 将 一 个 安装 软件 acdsee-pro 与 木马 捆绑 在 一 起 ， 并 生成 自 解压 文件 。 一 旦 
用 户 运行 acdsee-pro 安 装 文件 ， 就 会 感染 森马。 具体 的 操作 步骤 如 下 。 

步骤 01: 先 准备 好 捆绑 文件 ， 并 存放 在 同一 个 文件 夹 下 ， 如 图 6-36 所 示 。 


步骤 02: 同时 选中 两 个 文件 ， 在 石 键 快 捷 荣 单 中 选择 “添加 到 压缩 文件 ”选项 ， 如 图 6-37 所 示 。 打 开 “ 压 缩 文件 名 和 参数 ”对 语 
框 ， 如 图 6-38 所 示 。 在 “压缩 文件 名 ”文本 框 中 输入 要 生成 的 压缩 文件 的 名 称 ， 并 勾 选 “创建 目 解压 缩 格式 压缩 文件 ” 复 选 框 。 


步 又 03: 切换 至 “高 级 ”选项 卡 ， 单 击 “ 目 解压 选项 ”按钮 ， 如 图 6-39 所 示 。 打 开 “ 蜗 级 自 解 压 选项 ”对 话 框 ， 如 图 6-40 所 
示 。 在 “模式 ”选项 卡 中 选择 “全 部 隐藏 ” 单 选 项 ， 可 以 增加 木马 程序 的 隐蔽 性 。 为 了 更 好 地 迷惑 用 户 ， 还 可 以 在 “文本 和 图 标 ” 选 
项 卡 下 设置 目 解压 窗口 标题 、 目 解压 文件 图 标 等 属性 ， 如 图 6-41 所 示 。 


步骤 04: 单 击 “确定 ”按钮 ， 即 可 返回 “压缩 文件 名 和 人 参数” 对话 框 。 人 在 “注释 ”选项 卡 中 可 以 看 到 目 己 所 设置 的 各 项 属性 ， 如 
图 6-42 所 77, 
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图 6-37 添加 到 压缩 文件 
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图 6-40 “高 级 自 解 压 选 项 ”对 话 框 
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图 6-41 “文本 和 图 标 选项 卡 


步骤 05: 单 击 “确定 ”按钮 ， 即 可 生成 一 个 名 为 acdsee-pro 的 自 解 压 压 缩 文 件 ， 如 图 6-43 所 示 。 此 时 只 要 将 其 发 给 其 他 用 户 
当 该 用户 运行 该 文件 就 会 中 木马 。 
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图 6-43 ”生成 的 自 解压 文件 


这 样 不 仅 可 以 将 木马 伪 委 成 可 执行 文件 ， 还 可 以 将 木马 伪 闭 成 图 片 、Flash 动 画 等 形式 ， 还 可 以 将 木马 和 损坏 的 zip 文 件 捆绑 在 一 
起 ， 绸 握 定 捆绑 后 的 文件 为 zip 图 标 。 这 样 ， 解 压 过 程 和 一 般 损坏 的 zip 基 本 一 样 ， 但 木马 已 经 在 悄悄 运行 。 
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G_Server.exe， 黑 客 可 利用 一 切 办 法 诱骗 用 户 运行 G_ Server.exe 程 序 。 下 面 曝光 利用 灰 鸽 子 生成 木马 服务 端的 具体 操作 步骤 。 


步骤 01: 217 “Жаза” Жей, Бе ТА" 


Жазған 
务 端 ”按钮 ， 即 可 打开 “服务 器 配置 ”窗口 ， 如 图 6-45 所 示 


主 窗 口 ， 如 图 6-44 所 示 。 单 击 工具 栏 中 的 “配置 服 
步骤 02: 在 “1P 通 和 http 访 问 地 址 、DNS 域 名 解析 或 静态 I|P” 文 本 框 中 输入 “127.0.0.1:8000”; 设置 安 六 路 径 、 安 六 名 称 、 
接 密 码 等 属性 后 ， 单 击 “ 选 择 图 标 ” 按 钮 ， 选 择 显 示 的 图 标 ， 如 图 6-46 所 示 。 

步骤 03: 在 设置 完 显示 名 称 、 服 务 名 称 、 


摘 述 信息 等 属性 后 ， 单 击 “ 生 成 服务 端 ” 按 钮 ， 即 可 打开 “服务 痛 程 序 保 仔 到 ”对 话 
框 ， 在 设置 服务 端 保存 位 置 和 保存 名 称 后 ， 蛙 击 “保存 ”按钮 ， 即 可 成 功 生 成 服务 端 
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图 6-45 “服务 器 配置 ”窗口 
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6-46 ”给 服务 端 程序 选择 的 图 标 


6.4.2 БЫ iH JA И 

ASPack 是 专门 对 Win32 可 执行 程序 进行 压缩 的 工具 ， 压 缩 后 程序 能 正常 运行 ， 丝 宫 不 会 受到 任何 影响 。 而 且 即 使 已 经 将 ASPack 
从 系统 中 删除 ， 曾 经 压缩 过 的 文件 仍 可 正常 使 用 。 

利用 AsPack 对 灰 鲍 子 服务 冰 进 行 加 壳 的 具体 操作 步骤 如 下 。 


步骤 01: 下 载 并 运行 AsPack 软 件 之 后 ， 即 可 打开 AsPack。 在 “选项 ”选项 卡 中 勾 选 “压缩 资源 ”、“ 使 用 Windows DLL 加 载 
器 ”、“ 加 载 后 立即 执行 ”等 复 选 枉 ， 如 图 6-47 所 示 。 
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图 6-47  ASPack Ei @ П 


步骤 02: 选择 “打开 文件 ”选项 下 ， 单 击 “ 打 开 ”按钮 ， 即 可 打开 “选择 要 压缩 的 文件 ”对 话 框 ， 如 图 6-48 所 示 。 在 其 中 选择 刚 
生成 的 灰 铝 子 木马 服务 端 文件 ， 单 击 “ 打 开 ” 按 钮 ， 即 可 开始 进行 压缩 ， 如 图 6-49 所 示 。 在 “压缩 ”选项 卡 中 可 进行 压缩 、 检 测 等 操 
作 ， 在 完成 之 后 ， 即 可 生成 加 膏 后 的 文件 。 
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H6-49 ”进行 压缩 


643 ”远程 控制 对 方 


将 灰 蚀 子 服 务 并 程 序 友 送 给 目标 计算 机 并 成 功 被 安 凑 之 后 ， 使 用 客 尸 端 束 可 以 对 该 主机 进行 远程 控制 了 。 下 面 介绍 使 用 灰 饮 子 控 
制 远程 主机 的 具体 操作 步骤 。 
步骤 01: 在 生成 服务 端 程 序 时 米 用 了 “自动 上 线 ” 模 式 ， 因 此 需要 对 客 尸 端 进 行 设置 。 在 “ 灰 侣 子 客 尸 端 ” 主 窗口 中 选择 “ 设 
”一 “系统 设置 ”菜单 项 ， 即 可 打开 “系统 设置 ”对 话 框 ， 如 图 6-50 所 示 。 在 设置 自动 上 线 端 口 、 是 否 打开 语言 提示 功能 等 属性 
后 ， 单 击 “ 应 用 改变 ”按钮 ， 即 可 完成 设置 。 
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步骤 02: Е “хаз жш ЖЕГІН "Запек УЛЕС A IENASI, Æ " Бает" САЕН) 
入 “8000”， 在 “连接 密码 ”文本 框 中 输入 相应 的 密码 ， 如 图 6-51 所 示 。 
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图 6-51 设置 连接 主机 


步骤 03: 蛙 击 “应 用 改变 ”按钮 ， 即 可 使 服务 端 通 过 Web 万 式 得 到 上 自己 的 IP 来 实现 上 自动 上 线 ， 此 时 上 自动 上 线 的 主机 会 直接 添加 
到 “ 灰 铝 子 客 户 端 ” 主 窗口 左 侧 的 “在 线 主 机 ”列表 中 ， 如 图 6-52 所 示 。 双 击 该 机 的 IP 地 址 ， 即 可 读 取 其 驱动 器 列表 ， 可 以 对 其 中 的 
文件 进行 复制 、 下 载 等 操作 ， 如 图 6-53 所 示 。 


步骤 04: 在 “系统 信息 ”选项 卡 中 单 击 “ 碍 询 当前 连接 系统 信息 ”按钮 ， 即 可 将 当前 连接 主机 系统 的 各 种 信息 显示 出 来 ， 如 图 6- 
ABT. 


步骤 05: 在 “注册 表 管 理 ” 选 项 卡 中 可 看 到 当前 连接 主机 中 的 注册 表 ， 可 对 远程 计算 机 的 注册 表 信 息 进 行 查看 、 修 改 等 操作 ， 如 
图 6-55 所 示 。 
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图 6-53 ”查看 远程 主机 中 的 文件 


步骤 06: 人 在 “进程 管理 ”选项 卡 中 单 击 “ 碍 看 
某 个 进程 后 ， 单 击 “ 终 止 进程 ”按钮 ， 即 可 停止 该 
所 有 打开 的 窗口 ， 如 图 6-57 所 示 。 


程 按钮， 即 可 显示 出 当前 连接 主机 中 正在 运行 的 进程 ， 如 图 6-56 所 示 。 人 在 选中 
程 。 在 “窗口 管理 ”选项 卡 中 单 击 “ 碍 看 窗口 ”按钮 ， 即 可 看 到 当前 连接 主机 中 
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步骤 07: Е "ЗЕН шеста “ЕГЕ КЗ” Бен, ШЕГЕ НЕЕ ЕЛЕНЕ, НЕНІ ТА А. ШЕЕ 
(Е, 如 图 6-58 所 示 。 


ЖЫР do ТА ЧЕН 


2 | ша 


NT AC паноа 


ugue [irons REMO Бп: 800 ТН: sasa 


| ld rA TE 

| nno а 
|[- anime В m 
| e: иа] 

k fat Ww 
| 当面 用户 
ТҮ skr НН 
ГЕРІ 
ЦЕ 
Pansa 
LITE 
mE 


|zntn-e-16 10:24 


за - АН EEEE 


156 
тка ЖР Prodessinnel Service Pech 3 (51 Bu 26007 
сық! 

ЮР 

md n 

Асат гай 

2010-5-19 1 0:34 28 

щата 

M Aa HOST DS 112 

14278507 

Beta 1/75 


15010-5-15 10:34:07 - DER ИНЕ ЕРКИНЕН. 


[pus 29 10:34:07 - КРАЕН ЧИЗЕ. — — 


Г Ее 


| ERRE | 


H6-54 “系统 信息 ”选项 卡 


‚ EE TE TR ВЕН 


жш! [127 0.94. T ET. = 2000 meret uram Ec 


ЖЇРЄР | FARA | ВЕ | АНА HFEF | ШЕР | ESE | СНОВ | Hi | Rr B| 


+ OHE CURRENT. p 
+ СЗ НЕ“ преса MACHINE 
+ СЗ HHEN USERS 

+ HhEY CURRENT. ХҰН 
x (3) ННЕТ ОТЫ DATA 


[enin-s-9 10-32-15 - ФАРНЫ Ер | 
2010-5-19 10:32:14 - РЕЛІ ЕИ ЕГУ 
(2010-5-19 10:: 32:14 - | ТЕШКЕН EET. | 


6-55 “注册 表 管 理 ” 选 项 卡 
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图 6-57 “窗口 管理 ”选项 卡 


步骤 08: 如 果 要 开局 远程 主机 中 的 某 个 服务 ， 则 需 先 选中 该 服务 后 ， 单 击 “ 局 动 服务 ”按钮 ， 即 可 在 远程 主机 中 开局 该 服务 ， 如 
图 6-59 所 示 。 


步骤 09: 在 “CMD 操 作 ” 选 项 卡 中 可 通过 输入 命令 对 远程 主机 进行 控制 。 在 “CMD 命 令 ” 文 本 框 中 输入 相应 的 命令 ， 这 里 运行 
查看 目标 主机 IP 地 址 的 lpconfig 命 令 ， 如 图 6-60 所 示 。 即 可 执行 lpconfig 命 令 ， 此 时 在 上 方 可 看 到 目标 主机 的 IP 地 址 、 网 关 等 信息 ， 
如 图 6-61 所 示 。 
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图 6-59 ”开启 远程 主机 中 的 服务 
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图 6-61 查看 目标 主机 的 JP 地址 和 网 关 等 信息 


步骤 10: 在 “键盘 记录 ”选项 卡 中 单 击 “局 动 键盘 记录 ”按钮 ， 即 可 开始 记录 目标 主机 的 键盘 操作 ， 如 图 6-62 所 示 。 单 击 “ 码 看 
记录 内 容 ” 按 钮 ， 即 可 在 上 方 看 到 目标 主机 键盘 的 操作 内 容 ， 如 图 6-63 所 示 。 
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图 6-63 ”查看 键盘 操作 内 容 


步骤 11: 在 “命令 广播 ”选项 卡 中 可 以 实现 乞 载 远程 计算 机 中 的 灰 铝 子 服务 端 程序 、 重 局 或 关闭 远程 计算 机 、 开 局 3389 以 及 通 


过 远程 计算 机 打开 网 页 和 从 远程 计算 机 下 载 文件 等 操作 ， 如 图 6-64 所 示 。 如 果 想 开局 3389 服 务 ， 则 单 击 “ 开 局 3389” 按 钮 ， 即 可 打 
开 “ 确 定 要 开启 3389 终 端 服 务 ” 提 示 框 。 


步骤 12: 在 “ 灰 铝 子 客户 端 ” 主 窗口 中 单 击 “ 屏 幕 监控 ”按钮 ， 即 可 打开 “屏幕 监控 " 


窗口 ， 在 其 中 可 看 到 远程 主机 的 显示 屏 
如 图 6-65 所 示 。 单 击 “ 保 存 ” 按 钮 ， 即 可 将 当前 远程 计算 机 屏幕 保存 下 来 。 


Ж 


步骤 13: 通过 视频 语 瘟 功能 ,可 以 与 远程 计算 机 进行 语音 交流 ， 并 将 远程 计算 机 摄像 头 数据 记录 成 MPEG 文 件 ， 将 远程 计算 机 友 
送 过 来 的 语音 记录 成 WAV 文 件 。 在 “有 灰 鲁 子 客户 端 ” 主 窗口 中 单 击 “ 设 备 监控 ”按钮 ， 即 可 打开 “设备 监控 ”窗口 ， 在 其 中 可 进行 
读 取 视 频 和 语音 监听 等 操作 ， 如 图 6-66 所 示 。 
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而 实现 远程 控制 。 


由 于 灰 鸽 子 拦截 了 API 调 用 ， 在 正常 模式 下 服务 端 程序 文件 和 其 注册 的 服务 项 均 被 隐藏 ， 即 使 用 户 设 置 显示 所 有 隐藏 文件 也 无 法 
看 到 它们 。 此 外 ， 灰 铝 子 服务 端的 文件 名 也 是 可 以 自 定 义 的 ， 这 都 给 手工 检测 带 来 了 一 定 困难 。 但 灰 鸽 子 一 般 都 会 在 系统 目录 下 生成 
一 个 以 hook.dll 结 尾 的 文件 。 通 过 这 一 点 ， 即 可 手工 检测 出 灰 铝 子 的 服务 端 。 由 于 正常 模式 下 灰 便 子 会 隐藏 自身 ， 因 此 检测 灰 铝 子 的 
操作 需要 在 安全 模式 下 进行 。 具 体 的 操作 步骤 如 下 。 


步骤 01: 人 在 Windows 系 统 司 动 过 程 中 ， 按 F8 键 ， 在 出 现 的 局 动 选项 荣 单 中 选择 “安全 模式 ”局 动 项 ， 即 可 在 安全 模式 下 局 动 计 
算 机 。 


步骤 02: 由 于 灰 鸽 子 的 文件 本 身 具 有 隐藏 属 性 ， 因 此 要 设置 Windows 显 示 所 有 文件 。 在 “计算 机 ”窗口 中 选择 “工具 ”一 “ 文 
件 夹 选项 ”菜单 项 ， 即 可 打开 “文件 夹 选项 ”对 话 框 ， 如 图 6-67 所 示 。 


步骤 03: 在 “查看 ”选项 卡 中 取消 勾 选 “隐藏 受 保护 的 操作 系统 文件 ” 复 选 框 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 完成 设置 。 选 择 “ 开 
始 ” 菜 单项 ， 在 “搜索 程序 和 文件 ”文本 框 中 输入 *_hook.dll 后 ， 即 可 进行 搜索 ， 如 图 6-68 所 示 。 如 果 发 现 灰 鸽子 的 木马 程序 文件 ， 
如 Huigezi_Hook.dll 文 件 ， 将 这 些 程序 删除 即 可 。 
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图 6-67 “文件 夹 选项 “对话 杠 


622 Advanced Office Password 


图 6-68 搜索 程序 和 文件 


65 ”木马 的 加 元 与 及 元 


加 壳 融 是 将 一 个 可 执行 程序 中 的 各 种 资源 ， 包 括 对 exe.dll 等 文件 进行 压缩 。 压 缩 后 的 可 执行 文件 依然 可 以 正确 运行 ， 运 行 前 先 人 在 
内 存 中 将 各 种 资源 解压 缩 ， 再 调 入 资源 执行 程序 。 加 过 后 的 文件 束 变 小 了 ， 而 且 文 件 的 运行 代码 已 经 友 生变 化 ， 从 而 避免 被 木马 醒 杀 
软件 扫 拉 出 来 并 查 杀 ， 加 过 后 的 木马 也 可 通过 专业 软件 查看 是 人 否 加 壳 成 功 。 脱 壳 正 好 与 加 膏 相 反 ， 指 脱 挥 加 在 木马 外 面 的 过， 脱 这 后 
的 木马 很 易 被 杀毒 软件 扫 接 并 查 杀 .。 


6.5.1 ”使 用 ASPack 进 行 加 过 


ASPack 是 一 蒜 非 党 好 的 32Bit PE 格式 可 执行 文件 压缩 软件 ， 操 作 非 党 便捷 。 以 往 的 压缩 工具 ， 通 弟 是 将 计算 机 中 的 文档 进行 压 
， 用 来 缩小 其 储存 空间 ， 但 压缩 后 融 不 能 再 运行 了 ， 如 果 想 运行 必须 解压 缩 。 而 ASPack 是 专门 对 Win32 可 执行 程序 进行 讨 缩 的 工 
， 压 缩 后 程序 能 正 弟 运 行 ， 丝 毫 不 会 受到 任何 影响 。 而 且 即 使 已 经 将 ASPack 从 系统 中 删除 ， 曾 经 压缩 过 的 文件 仍 可 正 冲 使 用 。 


} 


\ 


\ 
/ 


利用 ASPack 对 木马 加 过 进行 的 具体 操作 步 又 如 下 。 
步骤 01: 运行 AsPack， 切 换 至 “选项 ”选项 不， 取消 勾 选 “创建 备份 ” 复 选 框 ， 如 图 6-69 所 示 。 


步骤 02: 切换 全 “打开 文件 ”选项 卡 ， 单 击 “ 打 开 ” 按 钮 ， 如 图 6-70 所 示 。 
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6-69 ”运行 ASPack 
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图 6-70 “打开 文件 ”选项 卡 


步骤 03: 在 “选择 要 压缩 的 文件 ”对 话 框 中 选择 要 加 壳 的 木马 程序 后 单 击 “打开 ”按钮 ， 如 图 6-71 所 示 。 
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4671 “选择 要 压缩 的 文件 ”对 话 框 


步骤 04: 返回 ASPack 界 面 ， 单 击 “ 开 始 ” 按 钮 进行 压缩 ， 如 图 6-72 所 示 。 


步 又 05: 完成 加 这 后 ,切换 至 “打开 文件 ”选项 卡 可 以 看 到 木马 程序 压缩 前 和 压缩 后 的 文件 大 小 ， 如 图 6-73 所 示 。 
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图 6-72 “开始 压缩 
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图 6-73 ”查看 木马 压缩 前 后 大 小 


6.5.2 使 用 “北斗 程序 压缩 ”对 木马 服务 疡 进行 多 次 加 充 


虽然 为 木马 加 过 过 之 后 ， 可 以 向 过 杀毒 软件 ， 但 还 会 有 一 些 特别 强 的 杀毒 软件 仍然 可 以 但 杀 出 只 加 过 一 次 过 的 木马 ， 所 以 只 有 进 
行 多 次 加 壳 才 能 保证 不 被 杀毒 软件 查 杀 。 “北斗 程序 压缩 ” (Nspack) 是 一 款 拥有 自主 知识 产权 的 压缩 软件 ， 是 一 个 
exe/dll/ocx/scr 的 32 位 、64 位 可 运行 文件 的 压缩 器 。 上 压缩 后 的 程序 在 网 络 上 传递 可 减少 程序 的 加 载 和 下 载 时 间 。 


使 用 “北斗 程序 压缩 ”给 木马 服务 端 进行 多 次 加 壳 的 具体 操作 步骤 如 下 。 


步骤 01: 运行 “北斗 程序 压缩 ”软件 ， 切 换 至 “配置 选项 ”选项 卡 ， 勾 选 “处理 共 享 节 ”、 “最 大 程度 压缩 ”、 “使 用 
Windows DLL 加 载 器 ”等 重要 选项 ， 如 图 6-74 所 示 。 


步骤 02: 切换 至 “文件 压缩 ”选项 卡 ， 单 击 “ 打 开 ” 按 钮 ， 如 图 6-75 所 示 。 
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图 6-74 “北斗 程序 压缩 ” 主 界面 
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图 6-75 “文件 压缩 ”选项 卡 


步骤 03: 选 定 可 执行 文件 后 单 击 “ 打 开 ” 按 钮 ， 选 择 要 壳 的 木马 文件 ， 如 图 6-76 所 示 。 返 回 “ 北 斗 程 序 压缩 ”界面 后 单 击 “ 压 
缩 ” 按 钮 ， 对 木马 程序 进行 压缩 ， 如 图 6-77 所 示 。 
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90-76 ”选择 木马 文件 
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图 6-77 对 木马 程序 进行 压缩 


1) 当 有 大 量 的 木马 程序 需要 进行 压缩 加 壳 时 ， 可 以 使 用 “北斗 程序 压缩 ”的 “目录 压缩 ”功能 ， 进 行 批量 压缩 加 壳 。 


2) 经 过 “北斗 程序 压缩 ”加 壳 的 木马 程序 ， 可 以 使 用 ASPack 等 加 党 工具 进行 再 次 加 壳 ， 这 样 就 有 了 两 层 党 的 保护 。 


6.5.3 ”使 用 PE-Scan 检 测 木 马 是 否 加 过 膏 


PE-scan 是 一 个 类 似 Filelnfo 和 PE iDentifier 的 工具 ， 可 以 检测 出 加 壳 时 使 用 了 哪 种 拷 术 ， 给 脱 计 、 汉 化 、 破 解 融 来 了 极 大 的 便 
利 。PE-Scan 还 可 检测 出 一 些 壳 的 入 口 点 (ОЕР) ， 方 便 手 动 脱 壳 ， 对 加 壳 软 件 的 识别 能 力 完全 超过 Filelnfo 和 PE iDentifier, BER 
别 出 绝 大 多 数 这 的 类 型 。 另 外 ， 还 具备 高 级 扫 摘 器， 具备 重建 脱 帝 后 文件 的 资源 表 功 能 。 


具体 的 使 用 步骤 如 下 。 
步骤 01: 运行 PE-Scan， 在 PE-Scan 主 界面 单 击 “ 选 项 ”按钮 ， 如 图 6-78 所 示 。 


步骤 02: 在 打开 的 “选项 ”对 话 框 中 根据 提示 信息 勾 选 相应 复 选 框 ， 然 后 单 击 “关闭 ”按钮 ， 如 图 6-79 所 示 。 


pe-scan 3.31 


图 6-78 PE-Scan 主 界面 


图 6-79 “选项 ”对 话 框 


步骤 03: 返回 主 界面 ， 单 击 “ 打 开 ” 按 钮 ， 如 图 6-80 所 示 。 


步骤 04: FIA "RAE ХАМЕ, RRNA, Euh "7+" БШ, 3UÉd6-81BT. 


pe-scan : DA, vk. exe 


图 6-80 ”返回 主 界面 
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步骤 05: 在 主 界面 即 可 查看 到 文件 加 壹 信息 ， 显 示 该 文件 经 过 aspack 2.2830, 186-8237. 


步骤 06: 日 击 “ 入 口 各 ” 按 钮 后 可 查看 入 口 点 、 偏 移 量 等 信息 。 然 后 单 击 “高 级 扫描 ”按钮 ， 如 图 6-83 所 示 。 


pe-scan :: DA, V ехе 
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图 6-82 ”显示 文件 加 这 信息 
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图 6-83 ”查看 入 口 点 、 偏 移 量 等 信息 


步骤 07: 打开 “ 融 级 扫 摘 ”对话 框 ， 单 击 “ 局 友 特 征 ” 栏 目下 的 “人 入口 点 ”按钮 后 查看 最 接近 的 匹配 信息 ， 如 图 6-84 所 示 。 


步骤 08: 单 击 “ 链 特征 ”栏目 下 的 “入 口 点 ”按钮 后 查看 最 长 的 链 等 信息 ， 如 图 6-85 所 示 。 


TuS 


ЕК 2.11 :: 33.335 
neolite 2.00 [dll/oex] : 
|Ipe-bundle 2.01.2-2. 42 22 
packmazter 1.0/1.8 


pe-shield 0.25 :: 

telock D. TO :: 25 00% 
telock D. Tl :: 25.00% 
telock 0.80 :: 25. 00% 
(орк 0. T1-0. T2 :: 22.73% 
үг-сүурі Ü. TSb :: 21.95% 


—À 
| 
amem s 


гаввовесоввосовововесововососозовсовосвовава 


图 6-84 “高 级 扫描 ”对 话 框 
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6-85 ”查看 最 长 的 链 等 信息 


6.5.4 使 用 UnASPack 进 行 脱 过 

在 查 出 木马 的 加 壳 程 序 之 后 ， 就 需要 找到 原 加 壳 程 序 进行 脱 壳 。 上 述 木 马 使 用 ASPack 进 行 加 壳 ， 所 以 需要 使 用 ASPack 的 脱 壳 工 
具 UnASPack 进 行 脱 壳 。 有 具体 的 操作 步骤 如 下 。 

步骤 01: 下 载 UnASPack 并 解压 到 本 地 计算 机 ， 双 击 UnASPack 快 捷 图 标 局 动 UnASPack， 如 图 6-86 所 示 。 


步骤 02: 打开 UnASPack 界 面 后 单 击 “文件 ”按钮 选择 要 脱 壳 的 文件 ， 如 图 6-87 所 示 。 
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步骤 03: 在 “打开 ”对 话 框 中 选中 要 脱 壳 的 文件 后 单 击 “ 打 开 ” 按 钮 ， 如 图 6-88 所 示 。 


步骤 04: 在 UnASPack 界 面 查看 生成 的 文件 路 径 ， 然 后 单 击 “ 脱 过 ”按钮 即 可 成 功 脱 这， 如 图 6-89 所 示 。 
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图 6-88 ”选中 要 脱 壳 的 文件 


т. ASPack 2.1 Ж 


{ЗЕ АЗУ: 
E:iweiwei 3894 (11. ехе 
M 备份 交 件 


这 个 是 一 ASPack 2.1 ЭН 20 给 他 汉化 下 ~ 
BY: ХЕХЕ QQ: 1581801 


图 6-89 查看 生成 的 文件 路 径 


使 用 UnASPack 进 行 脱党 时 要 注意 ，UnhASPack 的 版 本 要 与 加 党 时 的 ASPack 一 致 ， 才 能 够 成 功 为 木马 脱 沈 。 
除了 在 安全 模式 下 清除 灰 鸽 子 程序 外 ， 还 需要 在 “注册 表 编 辑 ” 中 删除 灰 鸽 子 服务 。 清 除 灰 鸽子 服务 的 具体 操作 步骤 如 下 。 


步骤 01: 在 “注册 表 编 辑 器 ”窗口 中 展开 HKEY _ LOCAL MACHINENSYSTEMNCurrentControl Set\Services 分 支 ， 如 图 6-90 所 
7. 
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图 6-90 “注册 表 编 辑 器 ”窗口 
步骤 02: 选择 “编辑 一 “查找 ”菜单 项 ， 即 可 打开 “查找 ”对 话 框 ， 如 图 6-91 所 示 。 


步骤 03: 在 “查找 目标 ”文本 框 中 输入 灰 铝 子 服 务 端 默认 名 称 H_Server 之 后 ， 单 击 “ 查 找 下 一 个 ”按钮 ， 即 可 进行 注册 表 搜 索 操 
作 ， 如 图 6-92 所 示 。 
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96-92 ”进行 搜索 注册 表 操 作 


步骤 04: 竺 搜索 结束 后 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 找到 “有 灰 鸽 子 ”木马 的 注册 表 项 ， 将 其 所 关联 的 整个 注册 表 项 删除 即 可 ， 如 图 
6-93 所 泵 。 


图 6-93 ”搜索 到 的 灰 铭 子 注册 表 项 


而 删除 次 鸽子 程序 文件 只 需 在 安全 模式 下 ， 删 除 Windows 文 件 夹 中 类 似 Huigezi.exe、Huigezi.dll、Huigezi_Hook.dl 以 及 
Huigezikey.dll 等 文件 之 后 ， 重 新 局 动 系统 即 可 彻底 清除 灰 鸽 子 服务 端 程序。 


对 于 那些 识别 出 来 的 比较 了 解 的 木马 病毒 ， 可 以 手工 将 其 删除 ， 但 是 如 果 是 陌生 的 木马 病毒 ， 要 想 确定 木马 的 名 称 、 入 侵 端 口 、 
隐藏 位 置 和 清除 方法 等 都 非常 困难 ， 这 时 需要 借助 各 种 木马 清除 软件 来 清除 木马 。 


6.6.1 使 用 “木马 清除 专家 ”得 杀 木 马 


“木马 清除 专家 ”是 维护 计算 机 安全 必 不 可 少 的 工具 。 该 软件 除 采 用 传统 病毒 库 得 杀 木 马 外 ， 还 具有 智能 得 杀 未 类 变种 木马 、 目 
动 监控 内 人 存 可 疑 程序 、 实 时 得 杀 内 人 存 硬盘 木马 、 采 用 第 二 代 木 马 扫 摘 内核、 班 杀 木马 、|E 修 复 、 有 恶意 网 站 拦 规 、 系 统 文 件 修复 、 硬 盘 
扫 摘 功能 和 系统 进程 管理 等 功能 。 下 面 介绍 使 用 “木马 清除 专家 ”得 杀 木 马 的 具体 步骤 。 


步骤 01: 下 载 并 安 半 “木马 清除 专家 ”， 双 击 梨 面 上 “木马 清除 专家 ”快捷 图 标 ， 即 可 打开 “木马 清除 专家 ” 主 窗口 ， 如 图 6-94 
Ет» 


步骤 02: 单 击 “ 系 统 监控 ”栏目 中 的 “ 扫 摘 内 人 存 ” 按 钮 ， 即 可 对 内 存 和 系统 的 天 键 位 置 进行 扫 搞 ， 如 图 6-95 所 示 。 同 时 还 显示 扫 
摘 的 进程 和 模块 数目 以 及 是 否 仓 企 木马 。 
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图 6-94 “木马 清除 专家 iu 
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96-95 ”对 系统 进行 扫描 


步骤 03: 单 击 “ 扫 摘 硬 盘 ” 按 钮 ， 即 可 打开 “ 扫 摘 硬盘 ”窗口 ， 在 其 中 即 可 看 到 快速 扫 搞 、 全 面 扫 摘 、 目 定义 扫 摘 3 种 扫 摘 方 


式 ， 如 图 6-96 所 示 。 


步骤 04: 这 里 以 “快速 扫 摘 ” 方 陈 为 例 进行 扫 摘 。 单 击 “ 快 速 扫 摘 ” 按 钮 ， 即 可 进行 扫 摘 。 扫 摘 过 程 中 单 击 “ 停 止 扫 摘 ”按钮 可 
随时 终止 扫描 ， 如 图 6-97 所 示 。 
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对 内 存 进 行 扫描 
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步骤 05: 单 击 “ 系 统 信息 ”按钮 ， 即 可 查看 目前 系统 各 种 信息 ， 例 如 CPU 占 用 率 以 及 内 存 使 用 情况 等 ， 如 图 6-98 所 示 。 可 以 使 
用 木马 清除 专家 对 系统 进程 和 局 动 等 进行 管理 。 单 击 “系统 管理 ”栏目 下 的 “进程 管理 ”按钮 ， 即 可 打开 “进程 管理 ”窗口 ， 如 图 6- 
99 所 示 。 人 在 选中 某 个 进程 后 ， 此 时 在 “进程 识别 信息 ”文本 框 中 殊 会 显示 该 进程 的 信息 。 如 果 是 未 知 项 目 ， 则 有 可 能 是 木马 进程 ， 此 
时 需 单 击 “ 中 止 进程 ”按钮 停止 该 进程 。 
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图 6-98 查看 系统 信息 
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图 6-99 “进程 管理 ”窗口 


步骤 06: 曲 击 “局 动 管 理 ” 按 钮 ， 即 可 进入 “局 动 项 目 管理 ”窗口 ， 在 其 中 可 以 看 到 局 动 项 目的 名 称 以 及 其 详细 信息 ， 还 可 以 删 
除 木 马 程序 的 局 动 程序 ， 如 图 6-100 所 示 。 


步骤 07: 蛙 击 “高 级 功能 ”栏目 下 的 “修复 系统 ”按钮 ， 即 可 打开 “修复 系统 ”窗口 ， 在 其 中 可 以 进行 恢复 系统 破坏 的 文件 、 修 
复 注 册 表 等 操作 ， 如 图 6-101 所 示 。 


步 又 08: 单 击 “ARP 绑 定 ” 按 钮 ， 即 可 打开 “ARP 绑 定 功能 ”窗口 ， 在 其 中 可 以 绑 定 IP 地 址 与 MAC 地 址 ， 如 图 6-102 所 示 。 单 
击 “ 其 他 功能 ”栏目 下 的 “修复 IE” 按 钮 ， 即 可 打开 “IE 浏 览 器 修复 ”窗口 ， 如 图 6-103 所 示 。 
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图 6-100 “启动 项 目 管理 ”窗口 
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图 6-102 “ARP 绑 定 功 能 窗口 
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86-103 “TIE 浏览 器 修复 ”窗口 


步骤 09: 单 击 “网 络 状态 ”按钮 ， 即 可 打开 “网 络 状 在” 窗口， 在 其 中 看 到 当前 主机 中 进程 的 名 称 、 本 机 地 址 、 闯 口 和 状态 等 信 
乱 ， 如 图 6-104 所 示 。 单 击 “ 辅 助 工 具 ” 按 钮 ， 即 可 打开 “辅助 工具 ”窗口 ， 如 图 6-105 所 示 。 单 击 “ 浏 贞 添 加 文件 ”按钮 ， 即 可 添 
加 文件 ， 利 用 文件 粉碎 功能 可 删除 以 前 无 法 删除 的 文件 。 


ASAREE 专业 本 马 理 杀 坎 件 


un „=d ri 


@ tray. ана 
© ETET. аха 
C soIaaGuard ана 


A LL аха 

fb bddaanlaadar. акч 
Li. bddamnlaadar. ж.н 
Vb büdkianlaadar. ако 


网 络 状态 
% 
辅助 工具 
[i] 
监控 日 志 


图 6-104 “网 络 状态 ”窗口 
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图 6-105 “辅助 工具 ”窗口 


步骤 10: 在 “辅助 工具 ”窗口 中 ， 单 击 “ 其 他 辅助 工具 ”按钮 ， 即 可 打开 “其 他 辅助 工具 ”窗口 ， 利 用 其 中 的 工具 可 以 实现 免疫 
| 插件、 清理 磁盘 、 编 辑 组 和 贫 略 、 优 化 系统 、 碍 看 Windows 版 本 等 操作 ， 如 图 6-106 所 示 。 


ZUR: 蛙 击 “其 他 功能 ”栏目 下 的 “上 监控 日 志 ” 按 钮 ， 即 可 打开 “系统 监控 日 志 ” 窗 口 ， 在 其 中 可 查看 本 机 的 监控 日 志 ， 这 样 
可 以 友 现 黑客 入 侵 的 路 迹 ， 如 图 6-107 所 示 。 
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图 6-106 “其 他 辅助 工具 ”窗口 
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图 6-107 “系统 监控 日 志 ” 窗 口 


6.6.2 免费 的 专 定 防火 墙 Zone Alarm 

ZoneAlarm 强 大 的 双向 防火 墙 能 够 监控 个 人 计算 机 和 互联 网 传 入 和 传 出 的 流量 ， 能 够 阻止 黑客 进入 一 台 计 算 机 发 动 攻击 并 窃取 信 
息 。 同 时 ，ZoneAlarm 的 强大 的 反 病 毒 引 警 可 检测 和 阻止 病毒 、 间 谍 软 件 、 特 洛 伊 木 马 、 蠕 虫 、 僵 尸 和 rootkit 等 病毒 的 入 侵 。 

下 面 介 绍 ZoneAlarm 的 使 用 ， 上 有 具体 操作 步骤 如 下 。 


步骤 01: 运行 ZoneAlarm 主 程序 ， 在 ZoneAlarm 主 界面 单 击 FIREWALL (防火 墙 ) 图 标 ， 如 图 6-108 所 示 。 
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图 6-108 ZoneAlarm X. Ат 


步骤 02: 打开 防火 墙 界 面 后 ， 蛙 击 ON 按 钮 可 开启 防火 墙 功能 ,如 图 6-109 所 示 。 单 击 access attempts blocked 链 接 可 进行 防火 
， 包 括 警报 级 别 、 是 否 开局 事件 日 志 以 及 程序 警报 日 志 级 别 ， 如 图 6-110 所 示 。 
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图 6-109 ”防火 墙 界面 
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图 6-110 ”防火墙 设置 


步骤 03: 返回 主 界面 ， 单 击 ANTIVIRUS (病毒 防护 ) 图 标 ， 进 入 病毒 防护 界面 后 ， 单 击 ON 按 钮 ， 开 局 病毒 防护 功能 ， 如 图 6- 
111 所 示 。 
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图 6-111 病毒 防护 界面 


第 7/ 章 ”网 游 与 网 吧 攻 防 工 具 


由 于 网 吧 是 面向 社会 公众 开放 的 营利 性 上 网 服务 场所 ， 用 尸 可 利用 网 吧 进 行 网 页 浏览 、 网 六 、 聊 天 、 听 音乐 等 活动 。 针 对 网 吧 的 
这 一 特点 ， 一 些 黑 客 在 网 吧 的 计算 机 中 植 入 木马 ， 以 等 竺 并 窃取 下 一 位 使 用 该 计算 机 的 用 户 的 账号 和 密码 等 相关 信息 。 有 时 ， 网 游玩 
家 平 驻 百 藻 地 升级 ， 但 是 一 旦 网 游 账号 密码 被 和 钦 ， 目 己 的 努力 束 要 付 之 东 流 ， 而 有 些 东 西 是 金钱 也 买 不 到 的 。 
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71 КЛЫ 


ВЕН НУЮ НУР ДЕН АЕ ХАНУ К ca aa eA, ІХ УНАН ЕА ЖК ЕН F, ЗН 
ЕНН Е РЮА А, ВЕЛ ЕНД ЕНЕ, SRXRIICOBJAKSRAIAPAXESUNGBEMESIBEBUUE, Ж-Е БН ЗЕ 
ШКЕ ЕННУ епо КЖ EARN Ен, 


7.1.1. ЕА, 


在 网 络 游戏 中 ， 一 些 游 戏 外 挂 、 游 戏 插件 和 着 戏 客 尸 问 软 件 多 被 盗号 木马 捆绑 在 一 起 。 使 用 这 些 程 序 的 人 多 数 是 玩 网 络 游戏 的 
人 ， 要 想 盗 取 网 络 游戏 的 账号 和 密码 信息 最 好 的 途径 束 是 在 这 些 程序 中 捆绑 盗号 木马 。 图 片 和 Flash 文 件 也 经 常 被 捆绑 木马 ， 因 为 图 
片 和 Flash 文 件 不 需要 用 户 另 外 执行 ， 只 要 打开 束 可 以 运行 。 一 旦 用 户 浏 览 了 被 捆绑 了 木马 的 图 片 和 Flash 文 件 ， 系 统 丈 会 中 毒 。 网 络 
上 和 存在 很 多 捆绑 工具 ， 如 “ 永 不 查 杀 的 捆绑 机 ”。 


下 面 介绍 如 何 使 用 “ 永 不 查 杀 的 捆绑 机 ”工具 捆绑 文件 ， 具 体 的 操作 步 又 如 下 。 


步骤 01: 下 载 “ 永 不 查 杀 的 捆绑 机 ”软件 压缩 色 ， 双 击 “ 永 不 查 杀 的 捆绑 机 .exe” 应 用 程序 ， 即 可 打开 “ 永 不 查 杀 的 捆绑 机 ” 主 
窗口 ， 如 图 7-1 所 示 。 单 击 “ 添 加 文件 ”按钮 ， 即 可 打开 “增加 要 捆绑 的 文件 ”对 话 框 ， 如 图 7-2 所 示 。 
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图 7-1 “ 永 不 查 杀 的 捆绑 机 ” 主 窗口 
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图 7-2 “增加 要 捆绑 的 文件 ”对话 框 


步骤 02: 选择 所 要 捆绑 的 文件 ， 此 捆绑 程序 支持 各 种 类 型 的 文件 格式 ， 单 击 “ 确 定 ”按钮 ， 即 可 在 “ 永 不 查 杀 的 捆绑 机 ” 主 窗口 
中 看 到 所 选择 的 应 用 程序 ， 如 图 7-3 所 示 。 


步骤 03: 再 添加 一 个 应 用 程序 ， 在 “安装 首次 运行 ”下 拉 列 表 中 选择 Strom2009.exe 选 项 ; 在 “ 当 首 次 结束 再 运行 ”下 拉 列 表 中 
选择 muma.exe 选 项 ， 如 图 7-4 所 示 。 


步骤 04: 在 下 面 图 片区 域 中 为 捆绑 文件 选择 一 个 图 标 。 这 里 捆绑 的 文件 是 党 ， 如 图 7-5 所 示 。 单 击 “ 捆 绑 文 件 ” 按 钮 ， 即 可 打 
开 “ 保 存 为 ”对 话 框 ， 在 其 中 设置 捆绑 文件 的 文件 名 和 保存 位 置 ， 如 图 7-6 所 示 。 


步骤 05: 单 击 “ 保 仔 ” 按 钮 ， 即 可 进行 文件 的 捆绑 。 待 押 绑 结束 后 ， 弹 出 “捆绑 完成 ”提示 框 ， 如 图 7-7 所 示 。 单 击 “ 确 定 ” 控 
钮 ， 即 可 完成 文件 的 捆绑 操作 。 
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图 7-3 ”查看 选择 的 应 用 程序 
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图 7-4 添加 应 用 程序 
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图 7-5 “为 捆绑 文件 选择 图 标 


保有 在 0 (ВЕ — — —— v" есе 
32 ТЕЛІ? 
БОЛЕЕ WASE 


Etorn2oos. eig - 
ЕЕ OI: [tex [+ ене) - | 


图 7-6 “保存 为 ”对 话 框 
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477 “捆绑 完成 ”提示 框 
提示 


“ 永 不 查 杀 捆绑 机 ”除了 支持 常见 的 图 标 图 片 文件 (*.IOC、*.BMP) 外 ， 还 支持 从 可 执行 文件 (*.EXE) 和 动态 链接 库 
(*.DLL) 中 提取 相关 的 图 标 。 由 于 该 工具 是 模拟 JI 已 程序 来 支持 多 个 不 同类 型 的 文件 捆绑 成 一 个 可 执行 程序 ， 所 以 一 般 的 杀毒 工具 都 
不 会 报警 ， 从 而 避免 了 被 杀毒 软件 查 杀 。 


7.1.2 ШИЕ Кез Ва: 
目前 网 络 游戏 已 经 成 为 很 多 人 生活 中 另外 一 个 世界 ， 网 络 游戏 中 的 很 多 装备 甚至 级 别 高 的 账号 本 身 也 成 为 了 玩家 的 财产 ， 在 现实 

世界 中 也 可 以 用 现金 来 进行 交易 。 于 是 ， 一 些 不 法 之 徒 已 经 开始 盯 上 了 网 络 游戏 ， 通 过 盗 取 网 络 游戏 的 账号 来 件 取 不 义 之 财 。 
以 下 几 种 网 络 游戏 最 容易 被 盗 


1) 有 价值 的 账号 。 账 号 的 等 级 越 高 ， 或 网 络 游 戏 中 的 人 物 沪 备 越 好 ， 其 价值 束 越 高 。 如 果 一 个 人 的 账号 是 新 申请 的 账号 ， 束 是 
RES, ЛАЛЕ, 


2) 在 网 吧 或 公共 场合 玩 网 络 游戏 的 账号 。 由 于 这 种 场合 中 的 计算 机 谁 都 能 用 ， 这 融和 直接 为 人 次 号 者 提供 了 方便 。 


3) 网 游 账号 公用 。 很 多 人 玩 网 六 的 人 喜欢 几 个 人 玩 一 个 号 ， 升 级 比较 快 ， 但 是 这 样 一 来 束 增 加 了 账号 被 次 的 可 能 性 ， 只 要 这 些 
人 中 有 一 个 人 的 机 器 中 了 盗号 木马 ， 游 戏 账号 束 很 有 可 能 被 盗 。 


前 单 见 的 网 游资 号 木马 有 如 下 几 种 。 


1) МЕЖЕЛІК, МКО ЕУЛИЕ НН ENG, ПЕРНИК RüxsstANRBPYPRB, МЕ 
等 技术 盗 取 “地 下 城 与 勇士 ”、“ 魔 粤 世 界 ”、 "ERER" 35% ТАУЫ нъ те а, Жару ЕНІН БЛ ЫНА ТЕҚ 
图 、 窍 取 用 户 存 储 在 计算 机 中 的 图 片 文档 和 文本 文档 ， 以 此 破解 游戏 密 保 卡 ， 并 将 这 些 敏感 信息 友 送 到 指定 邮箱 中 。 


2) 魔兽 密 保 克 星 。 访 盗号 木马 是 将 目 己 伪 闪 为 游戏 ， 针 对 热门 网 游 “ 魔 兽 世 界 ” 游 戏 ， 该 六 戏 会 把 wow.exe 改 名 后 设置 为 隐 蕊 
文件 ， 而 木马 却 以 wow.exe 名 称 出 现在 玩家 面前 。 如 果 玩 家 不 小 心 运行 了 木马 ， 即 使 账号 绑 定 了 密码 保护 卡 ， 游 戏 账号 也 会 被 盗 取 。 

3) 密 保 卡 盗 历 器 。 密 保 卡 盗 究 器 是 一 蒜 针对 网 游 密 保 卡 的 俐 号 木马 。 它 会 尝试 搜寻 并 人 盗 取 用 尸 存放 于 计算 机 中 的 网 游 密 保 卡 ， 
一 旦 成 功 ， 将 会 导致 游戏 账号 被 盗 。 

4) 下 载 狗 变种 。 下 载 狗 变种 是 一 个 木马 下 载 器 ,利用 该 工具 可 以 下 载 一 些 网 游 盗 号 木马 和 广告 程序 ， 从 而 使 得 用 户 的 虚拟 财产 
损失 以 及 频繁 地 被 弹 窗 骚扰 。 


72 ”解读 网 站 充值 其 骗术 


在 玩 网 络 洲 戏 过 程 中 ， 有 的 玩家 需要 用 金钱 来 买 更 精 民 的 丢 备 ， 融 需要 在 相应 充值 功能 区 使 用 现实 金钱 换取 游戏 中 的 点 数 。 针 对 
这 种 情况 ， 一 些 黑客 束 模 拟 游戏 厂商 界面 或 在 六 戏 界面 中 添加 一 些 具有 放 惑 性 的 广告 信息 ， 诱 惑 用 尸 前 往 充值 ， 从 而 骗取 钱财 。 


7.2.1  чнІнІН 


游戏 网 站 充值 欺骗 术 其 原理 和 骗取 网 上 银行 账号 、 密 码 信息 的 原理 比较 相似 ， 都 是 使 用 钓鱼 网 站 、 虚 假 广 告 等 欺骗 手段 。 前 段 时 
间 出 现 用 于 欺骗 用 户 的 非法 网 站 http://www.pay163.com 和 真实 的 网 易 点 数 卡 充值 查询 中 心 的 网 址 http://pay.163.com 非 常 相似 ， 
粗心 的 玩家 就 很 容易 上 当 受 骗 。 


还 有 一 些 黑客 伪造 网 游 的 官方 网 站 ， 且 各 个 链接 也 都 能 链接 到 正确 的 网 页 中 ， 但 是 ， 会 在 主页 的 页 面 中 添加 一 些 虚 假 的 有 奖 信 
， 提 示 玩 家 已 经 中 了 大 奖 ， 让 玩家 通过 登录 网 址 了 解 相关 的 具体 细节 以 及 领取 方式 。 答 玩家 打开 相应 网 址 后 ,会 提示 输入 填写 账 
、 密 码 、 角 色 等 级 等 信息 ， 一 旦 输入 这 些 资 料 后 ， 玩 家 的 账号 信息 束 已 经 被 黑客 次 取 ， 然 后 他 们 束 直 接 登 录 该 账号 ， 并 转移 此 账号 
中 的 有 价 物品 。 


ЧО ет 


7.2.2 В VRIR zÇ 

КА ЖЕНИЯ, АЯН, 20 ама ІНЕН, ANORA гета в КЕЛЕ БА МЕННЕН ЕН Жу 
的 表单 提交 程序 ， 一 定 要 通过 正确 的 方式 进入 网 洲 公 司 的 正式 页 面 才能 确保 账号 安全 。 黑 客 常 用 的 欺骗 方 式 有 如 下 几 种 。 

(1) ЕЖ “ЖЕНА” ну "Ra LÜEAS ЧАКА 


РИА, £i RERS WARR. "AFER SAF, ARAE RRRS. ҒА 
г, BJEAKRUU КЛ GEE. 


1) 一 般 在 游戏 中 只 有 一 个 用 户 的 名 字 叫 “着 戏 管 理 员 ”， 其 他 任何 的 管理 员 都 是 假冒 的 ， 而 且 “ 游 戏 管理 员 ” 在 游戏 中 一 般 是 


А108 РКЕ 98У. 
2) UR ХЕ" ВИ НВР АКЕ. BAA, BRALLAN ЕВИЧ, 
3) 游戏 官 万 只 会 在 主页 上 以 公告 的 形式 同 用 尸 公 布 任何 与 中 奖 有 关 的 信息 ， 而 不 会 在 游戏 中 公布 。 


Д) 如 果 在 游戏 的 过 程 中 友 现 有 人 友 送 类 似 骗 取 账 号 、 密 码 的 信息 ， 可 以 马上 同 在 线 的 “游戏 管理 员 ” 报 告 ， 或 者 通过 客服 专区 


提交 信息 。 
(2) 利用 账号 买卖 等 形式 骗取 账号 和 密码 


这 种 方法 是 利用 虚假 的 交易 账号 来 骗取 玩家 的 账号 。 盗 号 者 通常 以 卖 号 为 名 ， 把 号 卖 给 用 户 ， 但 是 在 得 到 钱 过 几 天 后 就 通过 安全 
码 把 号 找 回去 ; 或 假 凌 想 购买 用 尸 的 账号 ， 以 先 看 号 为 名 骗取 账号 。 防 范 方 法 如 下 。 


1) 拒绝 虚拟 财产 交易 ， 尤 其 是 拒绝 账号 交易 。 
2) 不 要 将 目 己 的 账号 、 安 全 码 或 密码 轻易 告诉 不 信任 的 玩家 。 
(3) 友 过 虚假 修改 安全 码 信息 欺骗 用 户 


次 号 者 通常 会 通过 六 戏 频道 同 他 人 友 送 类 似 “ 告 诉 大 家 一 个 好 消息 ， 网 易 账号 系统 已 经 被 破解 了 ， 可 以 通过 登 
录 http://Xy2on*.****.Ccom 页 面 修改 安全 码 ! ”的 通知 ， 用 刻 一 旦 登录 该 页 面 并 输入 目 己 的 账号 、 密 码 等 信息 ， 这 些 信息 束 会 被 盗号 
者 究 取 。 该 种 欺骗 万 式 的 防 学 万 法 如 下 。 


1) 不 要 轻信 这 些 驴 人 的 信息 。 
2) 如 果 要 修改 安全 码 ， 则 一 定 要 人 到 游戏 开发 公司 的 官方 网 站 上 修改 。 
(4) 冒充 朋友 ， 在 游戏 中 索要 用 尸 账号 、 点 卡 等 信息 


该 种 从 号 方式 的 特点 是 : 盗号 者 自称 是 游戏 中 用 户 的 朋友 或 菏 朋 友 的 小 号 ， 然 后 便 称 想 要 看 用 户 的 极品 滚 备 ， 或 帮 用 户 练 级 、 元 
值 点 卡 等 ， 从 而 同 其 条 要 账号 、 密 码 ， 而 当 用 户 将 账号 、 密 码 友 给 对 万 后 ， 其 账号 束 会 立刻 被 下 线 ， 当 再 次 尝试 登录 时 将 会 出 现 密 码 
首 误 提示 信息 。 其 防 汽 万 法 是 不 要 轻易 将 目 己 的 游戏 账号 和 密码 告诉 他 人 。 


7.2.3 ”提高 防 沁 意识 

网 络 游戏 玩家 提高 安全 防范 意识 是 保证 账号 、 密 码 不 被 盗 取 的 关键 因素 ， 除 上 述 介绍 的 防范 措施 外 ， 游 戏 玩家 还 要 注意 防范 本 机 
中 的 网 络 安全 ， 防 范 木马 病毒 的 攻击 。 

主要 表现 在 如 下 几 个 方面 。 


1) 在 IE 浏览 器 页 面 中 选择 “工具 ”一 “Internet 选 项 ”菜单 项 ， 即 可 打开 “Internet 选 项 ”对 话 框 ， 如 图 7-8 所 示 。 在 “ 安 
全 ”选项 卡 中 单 击 “ 自 定义 级 别 ” 按 钮 ， 在 “安全 设置 ”对 话 框 中 的 “ 重 置 为 ”下 拉 列 表 中 选择 “安全 级 -高 ”选项 ， 如 图 7-9 所 示 。 
单 击 “确定 ”按钮 ， 即 可 将 Internet 的 级 别 设置 为 高 。 将 IE 浏 览 器 的 “Internet 选 项 ”的 “高 级 ”设置 为 默认 设置 。 
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图 7-8 “Internet 选项 ”对 话 框 


2) 如 果 在 网 吧 中 登录 目 己 的 游戏 账号 ， 一 定 要 小 心 网 吧 的 计算 机 上 是 否 安 准 有 记录 键盘 操作 的 软件 或 锐 安 羔 了 木马 。 在 使 用 网 
吧 计 算 机 时 打开 “Windows 任 务 管理 器 ”窗口 ， 人 在 其 中 得 看 是 否 有 来 历 不 明 的 程序 正在 运行 ， 如 图 7-10 所 示 。 如 有 则 立即 将 访 程 序 
结束 。 最 好 在 上 机 前 移 使 用 木马 检查 工具 扫 摘 一 下 机 器 ， 看 是 售 仓 人 在 木 马 程序 ， 并 且 重 局 计算 机 。 


3) 不 要 安 半 和 下 载 一 些 来 历 不 明 的 软件 ， 特 别 是 外 挂 程序 。 并 且 不 要 随便 打开 来 历 不 明 的 邮件 的 附件 。 


Д) 在 输入 洲 戏 账号 和 密码 时 ， 最 好 不 要 用 回 车 键 和 Tab 键 ， 要 使 用 错位 输入 法 或 使 用 “小 键盘 ”和 “密码 保护 ”功能 ， 可 以 防 
止 计算 机 中 的 盗号 木马 的 监视 。 


5) 在 使 用 聊天 软件 时 ， 不 要 随意 接收 不 明 程 序 ， 如 果 确 实 需要 ， 要 先进 行 得 毒 再 运行 。 


6) 局 动 Windows 的 自动 更 新 程序 ， 以 确保 所 使 用 的 操作 系统 具备 防御 最 新 木马 的 能 


. NET Fremework ж 
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бе 


使 用 暴力 破解 网 游 账 号 和 密码 主要 是 利用 专门 暴力 破解 密码 工具 进行 破解 ， 
玩家 没有 保护 自己 的 账号 和 密码 的 意识 ， 还 是 可 以 轻松 地 被 破解 的 。 


dllhost.exe 
taskhost. exe 
dwm. exe 
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vengine. exe 
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Thunder. exe 
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和 密码 ， 且 破解 过 程 非常 慢 。 如 果 游戏 
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网 洲 的 账号 


一 般 的 小 戏 登录 界面 都 会 为 用 尸 提供 “有 目 动 记 住 密码 ”功能 ， 该 功能 为 用 户 以 后 的 登录 提供 了 方便 ， 但 同时 也 方便 了 黑客 破解 账 
号 和 密码 。 如 果 用 户 登 录 网 络 游戏 时 使 用 该 功能 ， 计 算 机 融会 目 动 将 其 账号 和 密码 保 仓 在 一 个 文件 中 ， 这 样 融 为 暴力 破解 工具 人 资 取 其 
账号 和 密码 提供 了 方便 。 目 前 这 类 破解 工具 很 多 ， 如 Cain&Abel 工 具 。 


Cain&Abel 是 一 个 可 以 破解 屏保 、PWL 密 码 、 共 享 密码 、 缓 存 口令 、 远 程 共 享 口 令 、SMB 口 令 等 的 综合 工具 。 利 用 该 工具 可 以 
查看 使 用 “自动 记 住 密码 ”功能 登录 的 本 地 账户 及 密码 。 下 面 通过 Cain&Abel 软 件 来 具体 介绍 使 用 “自动 记 住 密码 ”功能 给 用 户 带 来 
的 危害 性 。 具 体 的 操作 步骤 如 下 。 


步骤 01: 安 半 Cain&Abel 工 具 并 根据 提示 安装 WinPcap4.1， 双 击 果 面 上 的 Cain 快 捷 图 标 ， 即 可 打开 Cain 主 窗口 ， 如 图 7-11 所 


步骤 02: 单 击 菜单 栏 中 的 配置 按钮 鱼 ， 即 可 打开 “配置 对 话 框 ”对 话 框 ， 如 图 7-12 所 示 。 在 选择 好 本 机 的 I|P 和 适配器 后 ， 单 
击 “确定 ”按钮 ， 即 可 返回 到 Cain 主 窗口 中 。 选 择 “ 嗅 探 器 ”选项 卡 ， 在 其 中 可 看 到 本 地 网 络 中 的 主机 ， 如 图 7-13 所 示 。 
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图 7-11 ”Cain 主 窗口 
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图 7-12 “配置 ”对 话 框 


步骤 03: 在 窗口 下 方 的 列表 中 右 击 ， 从 弹出 菜单 中 选择 “扫描 MAC 地 址 ”菜单 项 ， 即 可 打开 “MAC 地 址 扫描 ”对 话 框 ， 如 图 7 
14 Т. 
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图 7-13 “配置 对 话 框 ” 对 话 框 
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图 7-14 “MAC 地址 扫描 ”对 话 框 


步骤 04: 选择 扫 摘 的 目标 主机 ， 这 里 选择 “所 有 在 子 网 的 主机 ” 单 选项 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 开始 扫 摘 。 待 扫 摘 完 成 后 ， 
在“ 嗅 探 器 ”选项 卡 中 可 看 到 整个 局 域 网 内 的 所 有 主机 的 信息 ， 如 图 7-15 所 示 。 在 Cain 主 窗口 中 选择 APR 选 项 卡 S， 在 其 列表 中 可 看 
到 已 经 存在 的 ARP 欺 骗 软件 ， 如 图 7-16 所 示 。 


步骤 05: 在 右边 空白 处 单 击 ， 在 上 面 的 工具 栏目 中 单 击 添加 到 列表 按钮 十， 即 可 打开 “新 的 ARP Poison Routing” 对 话 框 ， 如 
图 7-17 所 示 。 


步骤 06: 在 左边 列表 中 选 网 关 ， 而 右边 列表 中 选择 被 欺骗 的 IP 地 址 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 返回 APR 选 项 卡 ， 在 右边 列表 中 可 
看 到 刚 添 加 的 ARP 其 骗 信 息 ， 如 图 7-18 所 示 。 


步骤 07: 在 网 站 地 址 栏 中 输入 跑 跑 卡丁车 游戏 的 网 址 http://popkart.tiancity.com/yhomepage/， 即 可 进入 该 游戏 的 登录 页 面 ， 
在 其 中 输入 用 户 名 和 密码 ， 如 图 7-19 所 示 。 单 击 “ 确 定 ” 按 钮 ， 即 可 成 功 登 录 到 网 络 游戏 页 面 。 
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图 7-15 ”查看 扫描 到 的 主机 信息 
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图 7-16 APR 选项 卡 
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图 7-17 


“新 的 ARP Poison Routing” 对 话 杠 
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图 7-18 查看 刚 添加 的 ARP 坎 骗 


步骤 08: 在 Cain 主 窗口 中 选择 “口令 ”选项 卡 下 的 HTTP 选 项 ， 则 右 侧 列表 中 即 可 看 到 目标 主机 游戏 登录 的 用 户 名 和 密码 ， 如 图 
7-20 所 泵 。 
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使 用 Cain 软 件 可 以 很 轻松 地 窃取 到 目标 主机 登录 的 网 络 游 戏 用 户 名 和 密码 。 除 此 之 外 ， 利 用 该 工具 还 可 以 暴力 破解 账号 和 密码 ， 
同时 该 工具 的 嗅 探 功能 也 很 强大 ， 几 乎 可 以 捕获 到 FTP、HTTP、IMAP、POP3、SMB、TELNET、VNC、TDS、SMTP 等 多 种 账号 的 


ne. 
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为 防止 目 己 登 录 的 游戏 账号 与 密码 被 黑客 暴力 破解 ， 一 般 需 采取 如 下 几 种 防御 措施 。 
1) 尽量 不 要 将 目 己 的 游戏 账号 和 密码 暴露 企 公共 场合 和 其 他 网 站 ， 更 不 要 使 用 “ 目 动 记 住 密码 ”功能 登录 游戏 。 
2) 尽 可 能 将 密码 设置 复杂 一 些 ， 位 数 最 少 在 8 位 以 上 ， 且 需要 将 数字 、 字 和 母 和 其 他 字符 混合 使 用 。 


3) 不 要 使 用 目 己 的 信息 ， 如 生日 、 身 份 证 号 码 、 电 话 号 码 、 届 住 的 街道 名 称 、 门 牌号 码 等 作为 游戏 的 密码 。 


— 


Атал 


4) 由 于 再 复杂 的 密码 也 可 航 黑 客 破 解 ， 只 有 经 单 更 损 密码 ， 才 可 提高 密码 的 安全 系数 。 


5) 要 申请 密码 保护 ， 即 设置 安全 码 ， 而 且 安 全 码 不 要 与 密码 相同 。 由 于 安全 码 也 不 能 保证 密码 不 被 破解， 所 以 用 尸 在 设置 好 安 
全 码 后 ， 还 要 尽 可 能 地 保护 目 己 的 密码 。 


6) 使 用 完善 的 用 尸 登录 权限 和 软件 安 沪 权限， 并 尽 可 能 地 使 用 一 些 锁 定 软 件 在 短暂 离开 时 锁定 计算 机 ， 避 免 其 他 人 非法 使 用 目 


己 的 计算 机 。 
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目前 ， 局 域 网 中 多 数 采 用 的 是 广播 方式 ， 在 广播 域 中 可 以 监听 到 所 有 的 信息 报 。 这 样 在 局 域 网 中 进行 网 络 游戏 时 ， 黑 客 融 可 以 通 
过 对 信息 报 进行 分 析 ， 来 禄 取 局 后 网 上 传输 的 一 些 游戏 账号 和 密码 信息 。 同 时 ， 现 在 很 多 黑客 都 会 把 局 域 网 扫描 与 监听 作为 入 侵 之 前 
的 准备 工作 。 竺 借 这 种 万 式 ， 黑 客 可 以 获得 用 尸 名 、 密 码 等 重要 的 信息 ， 还 可 以 监听 别人 友 送 的 邮件 内 容 、 即 时 聊天 信息 、 访 问 网 页 
的 内 容 等 。 因 此 ， 如 果 补 黑客 监听 了 ， 将 会 给 用 户 审 来 巨大 的 损失 ， 所 以 要 警惕 局 域 网 的 监听 。 


ТАЛ 了 解 监听 的 原理 


网 络 监听 是 一 种 管理 计算 机 网 络 安全 方面 的 扩 术 ， 其 主要 的 使 用 对 象 是 网 络 安全 管理 人 员 。 他 们 可 以 利用 该 项 扩 术 来 监视 网 络 的 
状态 、 数 据 流动 情况 以 及 网 络 上 传输 的 信息 等 。 当 信息 以 明文 的 形式 在 网 络 上 传输 时 ， 使 用 监听 技术 接收 网 络 上 传输 的 信息 并 不 是 一 
件 难事 ， 只 要 将 网 络 接 口 设置 成 监听 模式 ， 即 可 截获 网 上 传输 的 信息 。 


现在 普遍 使 用 的 以 太 网 协议 ， 其 工作 方式 是 将 要 发 送 的 数据 包 发 往 连 接 在 一 起 的 所 有 主机 ， 且 数据 包 中 包含 着 应 该 接收 数据 包 主 
机 的 目标 地 址 ， 只 有 与 数据 包 中 目标 地 址 一 致 的 那 台 主机 才能 接收 。 当 主机 工作 在 监听 模式 下 ， 无 论 数据 包 中 的 目标 地 址 是 什么 ， 主 
机 都 将 接收 ， 并 一 律 上 交 给 上 层 协议 软件 处 理 ， 这 也 就 意味 着 在 同一 条 物理 信道 上 传输 的 所 有 信息 都 可 以 被 接收 到 。 如 果 被 接收 到 的 
言 息 是 以 明文 发 送 的 ， 则 其 中 所 有 的 信息 都 将 展现 在 接收 者 面前 ， 而 且 现 在 网 络 上 的 信息 大 多 是 以 明文 发 送 的 。 如 果 用 户 的 账户 名 和 
口令 等 信息 也 以 明文 的 方式 在 网 上 传输 ， 而 此 时 一 个 黑客 或 网 络 攻击 者 正在 进行 网 络 监听 就 很 危险 ， 这 就 是 目前 网 上 交易 的 账号 、 密 
码 丢 失 、QQ 号 丢失 的 原因 所 在 。 


目前 对 网 络 游戏 进行 监听 的 工具 主要 有 “联众 密码 监听 器 ”和 “边锋 密码 监听 器 ”， 这 两 个 工具 是 专门 用 来 监视 局 域 网 内 部 联众 
和 边锋 网 络 游戏 登录 操作 ， 同 时 记录 整个 局 域 网 内 部 的 联众 网 页 登录 、 边 锋 网 页 登录 等 的 包括 账 尸 和 密码 在 内 的 所 有 敏感 信息 。 对 于 
登录 到 游戏 大 厅 的 用 户 可 以 记录 账号 和 密码 ， 而 对 于 登录 到 游戏 网 页 的 用 户 则 可 以 记录 其 在 网 页 中 输入 的 所 有 以 POST 方式 提交 的 表 
单 中 的 全 部 内 容 ， 而 且 只 要 有 一 个 客户 端 运行 了 此 类 工具 ， 整 个 网 吧 或 局 域 网 融 都 在 其 监控 之 下 。 
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对 于 黑客 来 说 ， 可 以 利用 网 络 监 听 技 术 很 容易 地 获得 用 户 账 号 和 密码 等 关键 信息 ; 而 对 于 入 侵 检 测 和 退 蹊 者 来 况 ， 网 络 监听 近 术 
又 能 够 在 与 黑客 的 斗争 中 友 挥 重要 的 作用 。 目 前 在 局 域 网 中 还 没有 很 好 的 方法 来 防御 此 类 监听 ， 但 也 并 不 是 对 及 意 的 网 络 监听 攻击 无 
任何 防范 措施 。 下 面 将 介绍 几 种 防范 网 络 监听 的 万 法 。 


(1) 使 用 专门 的 密码 防盗 工具 


在 网 吧 为 了 保护 计算 机 的 基本 设置 ， 一 般 都 对 Ctrl+Alt+ Del 等 组 合 键 进 行 限 制 ， 使 得 用 户 根 本 无 法 知道 是 否 有 了 网络 监听 工具 在 运 
行 ， 不 过 用 户 可 以 去 下 载 专 | 门 的 密码 保护 软件 来 保护 目 己 的 游戏 账号 和 密码 等 隐私 信息 。 单 用 的 工具 有 “传奇 密码 防 和 盗 专家 ”、 "R 
吧 密 人 码 防盗 专家 ”等 。 使 用 “网 吧 密 码 防 盗 专 家 ”来 保护 网 络 游戏 账号 信息 的 具体 操作 步骤 如 下 。 


步骤 01: 下 载 并 安 普 “ 网 吧 密 码 防 瓷 专家” 后， 双击 桌 面 上 的 快捷 图 标 ， 即 可 打开 “网 吧 密 码 防 盗 专 家 网 络 版 ” 主 窗口 ， 如 图 7- 
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又 02: 在 “天 于 ”选项 卡 中 可 看 到 该 软件 的 相关 信息 ， 例 如 使 用 先进 的 内 存 伪 委 扩 术 ， 可 对 密码 进行 动态 伪 委 等 。 切 损人 到“ 消 


， 蛙 击 “ 局 动 ” 按 钮 ， 则 程序 即 可 自动 对 账号 进行 密码 保护 ， 并 实时 捕获 各 种 隐患 的 病毒 、 木 马 、 密 码 间 谍 、 键 盘 记 录 、 
还 能 在 黑客 友 送 密码 邮件 时 截获 其 邮件 账号 和 密码 ， 如 图 7-22 所 示 。 


г 选择 “配置 ”选项 卡 ， 即 可 在 其 中 设置 可 疑 模 块 、 在 线 注 册 用 尸 、 设 置 权限 等 ， 如 图 7-23 所 示 。 
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图 7-23 “配置 ”选项 卡 


密码 防 资 专家 系列 分 为 : “密码 防 资 专家 综合 版 ”， 主 要 针对 个 人 用 户 设计 ) “网 吧 密 码 防 资 专家 网 络 版 ”， 主 要 针对 网 吧 管 理 
人 员 设 计 。 这 里 使 用 的 是 “网 吧 密 码 防 资 专 家 网 络 版 ”， 如 果 是 普通 用 户 ， 使 用 “密码 防 资 专家 综合 版 ” 即 可 。 


步骤 04: 为 了 万 便 使 用 该 工具 ， 还 需要 给 该 软件 设置 权限 密码 。 在 “配置 ”选项 卡 的 “新 密码 ”和 “确认 密码 ”文本 框 中 分 别 输 
入 相应 的 密码 ， 单 击 “ 更 改 密码 ”按钮 ， 即 可 打开 “密码 更 改 成 功 ” 提 示 框 ， 如 图 7-24 所 示 。 单 击 OK 按钮 ， 即 可 完成 设置 权限 操 
作 。 


消息 Tem | 关于 Ве | 网 络 | 新 司 | 
已 处 理 模块 
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[7-24 “权限 管理 ”对 话 框 


步骤 05: 人 在 “网 吧 密 码 防盗 专家 网 络 版 ” 主 窗口 中 选择 “历史 ”选项 卡 ， 即 可 打开 “权限 管理 ”对 话 框 ， 如 图 7-24 所 示 。 在 “ 输 


入 管理 密码 ”文本 框 中 输入 设置 的 管理 密码 ， 并 单 击 OK 按 钮 ， 即 可 打开 “历史 ”选项 卡 ， 在 其 中 可 查看 已 处 理 的 模块 ， 还 可 以 进行 


还 原 操作 ， 如 图 7-25 所 示 。 
步骤 06: 选择 “网 络 ” 选 项 卡 ， 在 “权限 管理 ”对 话 框 中 输入 设置 的 管理 密码 ， 即 可 打开 “网 络 ” 选 项 卡 ， 在 其 中 可 对 网 络 选 


项 、 报 警 信息 等 属性 进行 设置 ， 如 图 7-26 所 示 。 


图 7-25 “历史 ”选项 卡 
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密码 防盗 专家 可 以 查 杀 的 恶意 软件 还 有 很 多 ， 如 冰河 木马 、QQ 密 码 侦探 、 广 外 幽灵 、 边 锋 次 号 机 、 传 奇 击 键 、OICQ 密 码 监 听 记 
录 工 具 、QEyes 潜 伏 猎 手 、 密 码 专家 、 传 奇 游戏 在 线 击 键 记 录 、 超 级 密码 记录 木马 、 联 众 木 马 监 听 器 、 近 键 记录 器 等 。 


(2) 使 用 加 密 技术 


如 果 局 域 网 中 的 数据 包 经 过 加 密 后 再 传输 ， 通 过 监听 得 到 的 信息 束 会 是 乱码 ， 可 以 保护 账号 和 密码 ， 但 是 使 用 加 密 技术 将 影响 数 
Мени, НЕЕ ЕНІ ШАУ 6, 


(3) М ER 


网 络 分 段 是 将 一 个 物理 网 络 划 分 为 多 个 逻辑 子 网 的 技术 。 网 络 分 段 作 用 是 将 非法 用 户 与 敏感 的 网 络 和 资源 相互 隔离 ， 从 而 防止 可 能 
的 非法 监听 。 一 个 子 网 段 是 一 个 小 的 局 域 网 ， 监 听 的 计算 机 只 能 在 自己 的 小 网 段 内 监听 ， 而 不 能 监听 别 的 子 网 段 。 还 可 以 使 用 专门 的 
反 监 听 工 具 ， 如 AntiSniffer， 进 行 防 范 。 


(4) 使 用 划分 VLAN 技 术 


虚拟 局 域 网 (VLAN) 是 根据 需要 灵活 地 加 入 不 同 的 逻辑 子 网 中 的 一 种 网 络 技术 。 建 立 了 虚拟 局 域 网 后 ， 各 个 虚拟 网 之 间 不 能 
接 进行 通信 ， 而 必须 通过 路 由 器 转 友 ， 为 高 级 的 安全 控制 提供 了 可 能 ,增强 了 网 络 的 安全 性 ， 这 样 可 以 防止 大 部 分 基于 网 络 监听 的 入 
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“ 美 荐 网 管 大 师 ” 软 件 集 实 时 计时 、 计 费 、 计 账 于 一 体 ， 是 一 款 网 吧 管 理 员 必 备 的 工具 。 衣 工具 既 可 单独 作为 网 吧 的 计 费 管理 软 
件 ， 也 可 配合 安全 卫士 远程 控制 整个 网 络 内 的 所 有 计算 机 ， 还 可 以 对 任意 机 器 进行 开通 停止 、 限 时 、 天 机 、 热 司 动 等 操作 ， 并 且 具 有 
会 员 管理 、 网 吧 商 品 管理 、 每 日 费用 统计 等 多 项 功能 。 


使 用 “ 美 滋 网 管 大 师 ” 软 件 管理 网 吧 中 计算 机 的 具体 操作 步骤 如 下 。 


步骤 01: 下 载 并 安 半 “ 美 洋 网 管 大 师 ” 工 具 并 双击 果 面 上 的 快捷 图 标 ， 即 可 打开 “ 美 滋 网 管 大 师 ” 窗 口 ， 如 图 7-27 所 示 。 
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步骤 02: 例如 选择 1 号 计算 机 后 ， 单 击 工具 栏 中 “远程 天 机 ”按钮 ， 即 可 打开 “提示 信息 ”提示 框 ， 如 图 7-28 所 示 。 单 
击 “ 是 ”按钮 ， 即 可 远程 天 闭 1 号 计算 机 。 


步骤 03: 在 “ 美 萍 网 管 大 师 ” 窗 口中 单 击 系统 设置 按钮 曲 ， 即 可 打开 “信息 ”提示 框 ， 如 图 7-29 所 示 。 在 其 中 输入 系统 密码 ， 
并 蛙 击 “确定 ”按钮 ， 即 可 打开 “ 美 浏 软 件 设 置 ” 对 话 框 ， 如 图 7-30 所 示 。 


图 7-29 “信息 ”提示 框 


步骤 04: 企 “ 计 费 ” 选 项 卡 中 可 对 “ 计 费 管理 ”、“ 分 时 段 计 费 ”、“ 上 网 程序 设置 ”、“ 会 员 计 费 ” 等 属性 进行 设置 。 选 
择 “ 设 置 ” 选 项 卡 ， 可 对 密码 和 系统 设置 的 各 个 属性 进行 设置 ， 如 图 7-31 所 示 。 


步 又 05: 在 “记录 ”选项 卡 中 单 击 “ 操 作 历 史记 录 ” 按 钮 ， 即 可 打开 “历史 操作 记录 ”对 话 框 ， 如 图 7-32 所 示 。 在 其 中 看 到 主要 
操作 记录 并 可 以 管理 员 身 份 删除 记录 ， 如 图 7-33 所 示 。 


记录 |БЕ ПВ [es | 商品 | 
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图 7-30  “ 美 萍 软件 设置 ”对 话 框 
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图 7-31 “设置 ”选项 卡 
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图 7-32 “记录 ”选项 卡 


ЕРІНГЕ о 
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图 7-33 “历史 操作 记录 ”对 话 框 


223506: 在 “记录 ”选项 卡 中 单 击 “ 网 站 历史 记录 ”按钮 ， 如 图 7-34 所 示 。 即 可 打开 “客户 机 网 站 历史 记录 统计 ”对 话 框 ， 如 图 
7-35 所 示 。 在 其 中 显示 了 有 某 人 台 客 户 机 浏览 的 网 站 ， 从 而 可 以 判断 用 户 是 否 进行 了 下 载 操作 。 


ЕЖ фен | 计 要 | 管理 | 商品 | 
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4734 “记录 ”选项 卡 
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87-35 “客户 机 网 站 历史 记录 统计 ”对 话 框 


步骤 07: 在 “ 美 萍 网 管 大 师 ” 窗 口中 单 击 “ 会 员 管 理 ” 按 钮 对 ， 即 可 打开 “信息 ”提示 框 ， 在 其 中 输入 设置 系统 密码 ， 如 图 7-36 
所 示 。 


图 7-36 “信息 ”提示 框 


步骤 08: 蛙 击 “确定 ”按钮 ， 即 可 打开 “会 员 制 管理 ”对 话 框 ， 在 其 中 对 本 网 吧 的 会 员 进 行 会员 充 值 、 新 增 会 员 、 资 料 修改 、 视 
料 备 份 、 会 员 统 计 等 各 种 管理 ， 如 图 7-37 所 示 。 


会 员 制 管理 


m ча 
БИР кы я | 
АН | ЖАНА | SEIER = 会 员 条 码 


图 7-37 “会 员 制 管理 ”对 话 框 


第 8 章 ”黑客 入 侵 检 测 工具 


每 个 使 用 计算 机 的 用 尸 ， 都 希望 自己 的 计算 机 系统 能 够 时 刻 保持 在 较 佳 的 状态 中 稳定 安全 地 运行 ， 但 在 实际 工作 和 生活 中 又 忌 是 
避免 不 了 出 现 计 多 问题 ， 针 对 这 些 问题 ， 最 好 的 解决 办 法 丈 是 利用 入 侵 检测 系统 来 保护 系统 的 安全 。 


要 想 成 为 一 名 出 色 的 黑客 ， 也 要 擎 握 系 统 服 务 器 的 入 侵 检 测 技术 ， 而 用 尸 只 有 对 目 己 的 计算 机 有 充分 的 了 解 ， 才 能 真正 地 将 安全 
威胁 解除 ， 以 保证 目 己 的 计算 机 系统 安全 。 人 在 本 章 将 主要 介绍 各 种 典型 的 入 侵 检测 系统 。 


Ааа ка: 

- 入 侵 检测 概述 

. 基于 网 络 的 入 侵 检 测 系 统 
. 基于 主机 的 入 侵 检 测 系 统 
- 基于 漏洞 的 入 侵 检 测 系 统 


г ЛИЛ 


. 用 WAS 检 测 网 站 


81 ЛЕДИ 


所 谓 入 侵 检 测 是 指 试图 监视 和 尽 可 能 阻止 有 害 信 息 的 入 侵 ， 或 其 他 能 够 对 用 尸 的 系统 和 网 络 资 源 天生 危害 的 行为 。 人 简单 地 说 ， 它 
是 这 样 工 作 的 : 用 己 有 一 个 计算 机 系统 ， 它 与 网 络 连 接着 ， 也 许 也 同 互联 网 连接 。 由 于 一 些 原 因 ， 人 允许 网 络 上 的 授权 用 尸 访问 该 计算 
机 。 比 如 ， 有 一 个 连接 着 互联 网 的 Web 服 务 器 ， 人 允许 目 己 的 客 尸 、 员 工 和 一 些 潜在 的 客 尸 访问 存放 在 该 Web 服 务 器 上 的 Web 页 面 。 


入 侵 检测 可 以 采取 更 多 的 措施 ， 大 致 有 以 下 几 种 。 
1) 放置 在 防火 墙 和 一 个 安全 系统 之 间 ， 基 于 网 络 的 入 侵 检测 系统 ， 束 能 够 给 该 系统 提供 另外 层次 的 保护 。 


2) 监视 从 互联 网 上 来 的 对 安全 系统 的 敏感 数据 喘 口 的 访问 ， 可 以 判断 防火 墙 是 否 被 攻破 ,或 是 否 采 取 一 种 未 知 的 技巧 来 绕 过 防 
火 墙 的 安全 机 制 ， 从 而 访问 被 保护 的 网 络 。 


入 侵 检测 系统 分 为 基于 网 络 的 入 侵 检测 系统 、 基 于 主机 的 入 侵 检测 系统 、 基 于 漏洞 的 入 侵 检测 系统 3 种 类 型 。 


82 ”基于 网 络 的 入 侵 检测 系统 


基于 网 络 的 入 侵 检测 ， 这 种 类 型 的 系统 一 般 安 竣 在 需要 保护 的 网 段 中 ， 利 用 网 络 监 听 技 术 实 时 监视 网 段 中 传输 的 各 种 数据 包 ， 并 
对 这 些 数据 包 的 内 容 、 源 地 址 、 目 的 地 址 等 进行 分 析 和 检测 。 如 果 友 现 入 侵 行为 或 可 疑 事件 ， 入 侵 检 测 系统 融会 友 出 警报 甚 全 切断 网 
络 连 接 。 其 整个 入 侵 检测 结构 如 图 8-1 所 示 。 


安全 配置 构造 器 


ШІ 2 РЕ 


IE НЕП 


图 8-1 基于 网 络 的 入 侵 检测 结构 
网 络 接口 卡 (NIC) 可 以 在 如 下 两 种 模式 下 工作 。 
1) 正常 模式 。 需 要 发 送 向 计算 机 (通过 包 的 以 太 网 或 MAC 地 址 进行 判断 ) 的 数据 包 ， 通 过 该 主机 系统 进行 中 继 转发 。 
2) 混杂 模式 。 此 时 以 太 网 上 所 能 见 到 的 数据 包 都 向 该 主机 系统 中 继 。 


一 块 网 卡 可 以 从 正 昭 模式 同 混杂 模式 转换 ， 通 过 使 用 操作 系统 的 底层 功能 就 能 直接 通知 网 卡 进行 如 此 改变 。 通 常 ， 基 于 网 络 的 入 
侵 检测 系统 要 求 网 卡 处 于 混杂 模式 。 


8.2.1 ВИННИ E ЛЕВ 
包 嗅 探 器 和 网 络 监视 器 的 最 初 设计 目的 是 帮助 监视 以 太 网 络 的 通信 。 最 早 有 两 种 产品 : Novell LANalyserflMicrosoft Network 
Monitor， 这 些 产 品 可 以 抓获 所 有 网络 上 能 够 看 到 的 包 ， 一 旦 抓获 了 这 些 数 据 包 ， 就 可 以 进行 如 下 的 工作 。 


1) 可 以 对 包 进 行 统计 。 统 计 通 过 的 数据 包 ， 并 统计 该 时 期 内 通过 的 数据 包 的 总 的 大 小 (包括 总 的 开销 ， 例 如 包 的 报头 ) ， 可 很 
好 地 知道 网 络 的 负载 状况 。LANalyser 和 Microsoft Network Monitor 都 提供 了 网 络 相关 负载 的 图 形 化 或 图 表 表 现形 式 。 


2) 可 以 详细 地 检查 包 。 如 可 抓获 一 系列 到 达 Web 服 务 器 的 数据 包 来 诊断 服务 器 的 问题 。 


近年 来 ， 包 嗅 探 产品 已 经 成 了 独立 的 产品 。 程 序 (如 Ethereal 和 Microsoft Network Monitor 的 最 新 版 本 ) 可 以 对 内 部 各 种 类 型 
的 包 进 行 拆 分 ， 从 而 可 以 知道 包 内 部 友 生 了 什么 类 型 的 通信 。 这 些 工具 也 能 被 用 来 进行 破坏 活动 。 


8.2.2 ВРЕТ, 


Ренел га Г Атака, N НАЕ F, ЕЛЕЕ ЛГ Bee OMINO ЕНЕВ, r= 
ге Жан ня ЗА ТЕЛЕТА тепе Е РАНИ А, НЕ, М-ЕНУБИЯ ВВТ а ва, 


另外 一 点 需要 考虑 的 是 : 在 交换 机 上 使 用 。 在 一 个 网 络 中 ， 它 比 集线器 使 用 得 更 多 。 注 意 ， 在 交换 机 的 一 个 接口 上 收 到 的 数据 包 
不 忌 是 馈送 同 交 换 机 的 其 他 接口 的 。 由 于 这 种 原因 ， 使 用 交换 机 多 的 环境 (比如 使 用 集线器 的 环境 ) 通常 可 以 击败 包 吓 探 器 的 使 用 。 


8.2.3 ”基于 网 络 的 入 侵 检 测 : ЕЛЕНА Е 


从 安全 的 观点 来 看 ， 包 嗅 探 器 所 市 来 的 好 处 很 少 。 抓 获 网 络 上 的 每 个 数据 包 ， 拆 分 该 包 ， 然 后 再 根据 包 的 内 容 手 工 采 取 相 应 的 反 
应 ， 太 浪费 时 间 。 有 什么 软件 可 以 目 动 为 我 们 执行 这 些 程 序 呢 ( 毕 葛 ， 这 是 计算 机 所 做 的 第 一 个 万 面 ) 。 


这 就 是 基于 网 络 的 入 侵 检 测 系统 主要 做 的 。 有 两 种 类 型 的 软件 包 可 以 用 来 进行 这 类 的 入 侵 检 测 ， 那 就 是 ISS Real Secure Engine 
和 Network Flight Recorder, 


识别 各 种 各 样 有 可 能 是 欺骗 攻击 的 IP， 将 IP 地 址 转化 为 MAC 地 址 的 ARP 协 议 通 党 束 是 一 个 攻击 目标 。 如 果 在 一 个 以 太 网 上 友 送 伪 
造 的 ARP 数 据 包 ， 一 个 已 经 获得 系统 访问 权限 的 入 侵 者 丈 可 以 假 凑 是 一 个 不 同 的 系统 在 进行 操作 。 这 将 会 导致 各 种 各 样 的 拒绝 服务 攻 
击 ， 也 叫 系 统 动 持 。 入 侵 者 可 以 使 用 欺骗 攻击 将 数据 包 重 定向 到 自己 的 系统 中 ， 同 时 在 一 个 安全 的 网 络 上 进行 中 间 类 型 的 攻击 来 进行 
欺骗。 


通过 对 ARP 数 据 包 的 记录 ， 基 于 网 络 的 入 侵 检测 系统 融 能 识别 出 受害 的 源 以 六 网 地 址 和 判断 是 人 否 是 一 个 破坏 者 。 当 检测 到 一 个 不 
希望 看 到 的 活动 时 ， 基 于 网 络 的 入 侵 检测 系统 将 会 采取 行动 ， 包 括 干 涉 从 入 侵 者 处 友 来 的 通信 或 重新 配置 附近 的 防火 墙 策 略 ， 来 封锁 
从 入 侵 者 的 计算 机 或 网 络 友 来 的 所 有 的 通信 。 


8.3 ”基于 主机 的 入 侵 检 测 系统 


基于 主机 的 入 侵 检 测 ， 这 种 类 型 的 入 侵 检测 系统 运行 在 需要 监视 的 系统 上 。 它 们 监 钢 系统 并 判断 系统 上 的 活动 是 否 可 接受 。 如 果 
一 个 网 络 数 据 包 已 经 到 达 它 要 试图 进入 的 主机 ， 要 想 准确 地 检测 出 来 并 进行 阻止 ， 除 防火 墙 和 网 络 监 视 器 外 ， 还 可 用 第 三 道 防线 来 阻 
Е, 即 “ 基 于 主机 的 入 侵 检 测 ”， 其 入 侵 检测 结构 如 图 8-2 所 示 。 
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68-2 ”基于 主机 的 入 侵 检 测 台 


一 个 威胁 ， 可 检查 出 网 络 连 接 表达 的 一 些 试图 进行 
而 不 是 通过 网 络 的 所 有 通信 。 基 


两 种 基于 主机 的 入 侵 检 测 类 型 如 下 
1) 网 络 监视 器 。 它 监视 进来 的 主机 的 网 络 连 接 ， 并 试图 判断 这 些 连接 是 人 否 是 
文 与 基于 网 络 的 入 侵 检测 不 同 ， 因 为 它 只 监视 它 所 运行 的 主机 上 的 网 络 通信 
定 类 型 的 活动 ， 进 而 判断 是 否 是 一 个 入 侵 企 图 (或 一 个 


的 入 侵 类 型 。 记 住 , i 
此 种 原因 ， 它 不 需要 网 络 接口 处 于 混杂 模式 
它 监视 文件 、 文 件 系 统 、 日 志 或 主机 其 他 部 分 ， 查 找 特 


2) 主机 监视 器 。 
成 功 的 入 侵 ) 之 后 ， 通 知 系统 管理 员 
(1) 监视 进来 的 连接 
在 数据 包 到 达 主 机 系统 的 网 络 层 之 前 ， 检 查 试 图 访问 主机 的 数据 包 是 可 以 的 。 这 种 机 制 试 图 在 到 达 的 数据 包 能 够 对 主机 造成 破坏 


TŽ 
之 前 ， 截 获 该 数据 包 而 保护 该 主机 
有 服务 的 端口 ， 这 通常 表明 入 侵 者 在 搜索 漏 ; 


可 以 采取 的 活动 主要 有 : 
1) 检测 试图 与 未 授权 的 TCP 或 UDP 端口 进行 的 连接 。 如 果 试 图 连接 没 

2) 检测 进来 的 咒 口 扫 摘 。 这 是 个 一 定 要 对 付 的 问题 ， 并 给 防火 墙 帮 警 告 或 修改 本 地 的 IP 配 置 以 拒绝 从 可 能 的 入 侵 者 主机 来 的 访 

产品 分 别 是 1SS 公 司 的 Real Secure 和 Port Sentry 


ІН), 
可 以 执行 这 种 监视 类 型 的 两 种 软件 


(2) 监视 登录 活动 
一 个 攻击 者 可 以 通过 各 种 万 法 (ЕЛЕЙ нан Н ЙЫ) 获得 一 个 网 络 密 码 ， 从 而 有 可 能 进入 该 系统 。 


尽管 绾 理 员 已 经 尽 了 最 大 努力 ， 同 时 刚刚 配置 并 不 断 检查 入 侵 检 测 软 件 ， 但 仍然 可 能 有 某 些 入 侵 者 及 取 目前 尚 不 知道 的 入 侵 攻 击 
查找 系统 上 的 不 一 般 的 活动 是 一 个 如 Host Sentry 软 件 的 工作 。 这 种 类 型 的 包 监 视 器 尝试 登录 或 退出 ， 从 而 给 系统 管理 员 友 送 管 


方法 来 进入 系统 。 


告 。 访 活动 是 不 正常 的 或 不 希望 的 


(3) 监视 Root 的 活动 


获得 要 进行 破坏 的 系统 超级 用 户 (Root) 或 管理 员 的 访问 权限 ， 是 所 有 入 侵 者 的 目标 。 除 了 在 特定 的 时 间 内 对 系统 进行 定期 维护 
外 ， 对 如 Web 服 务 器 或 数据 库 服 务 器 ， 进 行 尽 好 的 维护 和 在 可 靠 的 系统 上 对 超级 用 户 进 行 维护 ， 通 弟 是 几乎 没有 或 很 少 进行 的 活动 。 
但 入 侵 者 不 信任 系统 维护 ， 他 们 很 少 企 定期 的 维护 时 间 工 作 ， 而 经 党 是 在 上 面 进行 很 长 时 间 的 活动 。 他 们 在 该 系统 上 执行 很 多 不 一 般 
的 操作 ， 有 了 时候 比 系统 管理 员 的 都 多 。 


(4) 监视 文件 系统 


一 旦 一 个 入 侵 者 侵入 了 一 个 系统 (虽然 已 尽 最 大 努力 使 得 入 侵 检 测 系 统 友 挥 最 佳 效 果 ， 但 也 不 能 完全 排除 入 侵 者 侵入 系统 的 可 能 
Е) ， 束 要 改变 系统 的 文件 。 如 ， 一 个 成 功 入 侵 者 可 能 想 要 安 准 一 个 包 嗅 探 器 或 者 端口 扫 手 检测 器 ， 或 修改 一 些 系统 文件 或 程序 ， 使 
得 不 能 检测 出 他 们 在 周围 进行 的 入 侵 活动 。 在 一 个 系统 上 安 闪 软件 通常 包括 修改 系统 的 某 些 部 分 ， 这 些 修 改 通常 是 要 修改 系统 上 的 文 
件 或 库 。 


84 基于 漏洞 的 入 侵 检 测 系统 


黑客 利用 漏洞 进入 系统 ， 再 悄然 离开 ， 整 个 过 程 可 能 系统 管理 员 曲 无 察 部 ， 等 黑客 企 系统 内 衣 作 非 为 后 再 太 现 已 为 时 已 晚 。 为 防 
患 于 未 然 ， 应 对 系统 进行 扫 接 ， 友 现 漏 洞 及 时 补救 。“ 流 区” 在 国内 的 网 络 安全 爱好 者 们 心中 可 以 说 是 无 人 不 晓 ， 它 不 仅 仪 是 一 个 安 
全 漏洞 扫 摘 工具 ， 更 是 一 个 功能 强大 的 透 渗 测 试 工具 。“ 流 光 ”以 其 独特 的 C/s 结 构 设 计 的 扫 摘 设 计 颇 得 好 评 。 


8.4.1 АВ ос Утре ЕМЕА 


“流光 ”的 使 用 因 功 能 较 多 ， 所 以 对 初学 者 来 说 显得 稍微 有 点 儿 烦 琐 ， 不 过 舞 好 这 个 过 程 需要 的 时 间 不 会 太 久 。 下 面 将 为 大 家 详 
细 讲 述 用 流光 扫描 主机 漏洞 的 方法 。 具 体操 作 步 又 如 下 。 


步骤 01: 运行 “流光 ”软件 ， 在 “流光 ” 主 界面 选择 “文件 ”一 “高 级 扫 摘 向 导 ” 菜 单项 或 按 Ctrl+W 组 合 键 ， 如 图 8-3 所 示 。 
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步骤 02: 打开 “设置 ”对 话 框 后 ， 在 文本 框 中 输入 起 始 IP 和 终止 IP， 并 将 “目录 系统 ”设置 为 Nindows NT/2000， 然 后 单 
“下 一 步 ”按钮 ， 如 图 8-4 所 示 。 


步骤 03: 打开 PORTS 对 话 框 后 ， 在 文本 框 中 输入 扫 摘 的 端口 范围， 然后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 8-5 所 示 。 
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图 8-4 “设置 ”对 话 框 
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图 8-5 PORTS 对 话 杠 


步骤 04: 依次 打开 POP3、FTP、SMTP、1IMAP 对 话 框 ， 直 接 在 默认 状态 下 单 击 “ 下 一 步 ” 按 钮 即 可 ， 如 图 8-6 所 示 。 
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486 POP3、FIP、SMTP、IMAP 对 话 框 


步骤 05: 打开 TELNET 对 话 框 ， 不 勾 选 “9unOs Login 远 程 洪 出 ”选项 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 如 图 8-7 所 示 。 


步骤 06: 打开 CGI Rules 对 话 框 ， 在 操作 系统 类 型 列表 中 选择 Windows NT/2000 项 ， 根 据 需 要 选中 或 清空 下 方 扫 摘 列表 的 具体 
选项 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 8-8 所 示 。 


步骤 07: 依次 打开 SQL、IPC、11S、MI1ISC 对 话 框 ， 在 默认 状态 并 直接 单 击 “ 下 一 步 ” 按 钮 ， 如 图 8-9 所 示 。 


步骤 08: 打开 PLUGINS 对 话 框 ， 将 操作 系统 的 类 型 设置 为 Windows NT/2000 选 项 ， 然 后 单 击 下 一 步 按钮 ， 如 图 8-10 所 示 。 
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图 8-10 PLUGINS 对 话 框 


步骤 09: 打开 “选择 流光 主机 ”对 话 框 后 ， 单 击 “ 开 始 ” 按 钮 ， 如 图 8-11 所 示 。 此 时 可 在 “流光 ” 主 界面 看 到 正在 扫描 的 内 容 ， 
如 图 8-12 所 示 。 


步骤 10: 当 扫 摘 到 安全 漏洞 时 “流光 ”会 弹出 一 个 “探测 结果 ”窗口 ， 在 其 中 可 以 看 到 能 够 连接 成 功 的 主机 和 其 扫 摘 到 的 安全 漏 


洞 信 息 。 
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图 8-12 ”正在 扫描 的 内 容 


“流光 ”的 扫描 引擎 既 可 以 安装 在 不 同 的 主机 上 ， 也 可 以 直接 从 本 地 启动 。 如 果 没 有 安装 过 任何 扫描 引擎 ，“ 流 光 ” 将 使 用 默认 
的 本 地 扫描 引擎 。 


842 运用 “ 汶 光 ”进行 指定 漏洞 扫 摘 

很 多 时 候 并 不 需要 对 指定 主机 进行 全 面 的 扫描 ， 而 是 根据 需要 对 指定 的 主机 漏洞 进行 扫描 。 比 方 说 只 想 扫 描 指定 主机 是 否 具 有 
FTP 方 面 的 漏洞 ， 或 是 否 有 CG| 方 面 的 漏洞 等 。 

有 具体 的 操作 步骤 如 下 。 

步骤 01: 在 “流光 ” 主 窗口 右 击 “FTP 主 机 ” ， 在 快捷 菜单 中 选择 “编辑 ”一 “添加 ”菜单 项 ， 如 图 8-13 所 示 。 


步骤 02: 打开 “添加 主机 ”对 话 框 后 ， 在 文本 框 中 输入 远程 主机 的 域名 或 1P 地 址 ， 然 后 单 击 “ 确 定 ” 按 钮 ， 如 图 8-14 所 示 。 
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图 8-14 “添加 主机 ”对 话 框 


225803: 添加 完 主 机 后 ， 返 回 主 界面 ， 右 击 添加 的 主机 192.168.0.14， 在 快捷 菜单 中 选择 “编辑 ”一 “从 列表 中 添加 ”菜单 项 ， 
如 图 8-15 所 示 。 


步骤 04: 打开 “打开 ”对 话 框 ， 选 择 流光 安 闪 目录 中 含有 用 己 名 列表 的 Name 文 件 ， 单 击 “ 打 开 ” 按 钮 ， 如 图 8-16 所 示 。 
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图 8-16 “打开 ”对 话 框 
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步骤 05: 返回 主 界 面 ， 双 击 “ 显 示 所 有 项 目 ” 项 ，“ 显 示 所 有 项 目 ” 项 将 切换 成 “隐藏 所 有 项 目 ” 项 ， 而 用 户 列 表 中 的 所 有 用 户 
都 将 显示 出 来 ， 如 图 8-17 所 示 。 在 所 有 用 户 名 中 通过 勾 选 /清除 复 选 框 来 决定 用 户 名 的 选用 与 否 ， 如 图 8-18 所 示 。 


步骤 06: 按 Ctrl+F7 快 捷 按 钮 ， 即 可 令 “流光 ”开始 FTP 的 弱 口 令 探 测 。 当 “流光 ”探测 到 弱 口 令 后 ， 在 主 窗口 下 方 将 会 出 现 探 
测 出 的 用 尸 名 、 密 码 和 和 FTP 地址 。 
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8.5 FEHMER RA 


目前 可 供 选择 的 入 侵 检 测 系统 很 多 ， 除 了 入 侵 检 测 设备 自 带 的 管理 系统 以 外 ， 还 可 以 在 相应 的 检测 主机 上 通过 安装 其 他 入 侵 检 测 
工具 来 实现 安全 检测 的 目的 ， 而 萨 客 断 入 侵 检测 系统 是 一 种 积极 主动 的 网 络 安全 防护 工具 ， 提 供 了 对 内 部 和 外 部 攻击 的 实时 保护 。 


8.5.1 “ЕШ АЗ ЕЛІ ЫЛ 


ЖЕ Лека вв ДВ е, АЕ РИ ХО, ЖЕН ТАЯНУ ТТ ЛЕ, ДААН ЛУБ ЕНЧА 
络 进行 快速 精确 的 分 析 。 同 时 在 网 络 安全 和 了 网络 性 能 方面 提供 全 面 和 深入 的 数据 依据 ， 是 企 事 业 单 位 等 网 络 安全 立体 纵深 、 多 层次 防 
御 的 重要 产品 。 芦 客 断 入 侵 检测 系统 还 可 以 通过 对 网 络 中 所 有 传输 的 数据 进行 智能 分 析 和 检测 ， 从 中 发现 网 络 或 系统 中 是 否 有 违反 安 
全 委 略 的 行为 和 被 攻 击 的 迹象 ， 从 而 在 网 络 系统 受到 危害 之 前 拦 堆 和 阻止 入 侵 。 防 客 噶 入 侵 检 测 系统 的 主要 功能 如 下 。 


(1) 入 侵 检测 及 防御 


利用 该 功能 可 以 检测 出 网 络 中 存在 的 黑客 入 侵 、 网 络 资 源 滥 用 、 蠕 虫 攻 击 、 后 门 木 马 、ARP 欺 骗 、 拒 绝 服 务 攻击 等 各 种 威胁 ， 同 
时 可 以 根据 策略 配置 主动 切断 危险 行为 ， 从 而 实现 在 目标 网 络 进 行 保 护 的 目的 。 


(2) 行为 审计 


对 网 络 中 用 户 的 行为 进行 审计 记录 ， 包 括 用 户 学 围 Web 了 网站、 收 友 邮件 、 使 用 FTP 传 输 文 件 ， 使 用 MSN、QQ 等 即时 通信 软件 的 
行为 ， 同 时 还 对 网 络 中 的 敏感 行为 进行 审计 ， 这 样 万 便 管 理 员 友 现 潜 企 的 网 络 威胁 。 


(3) 流量 统计 

对 网 络 流量 进行 实时 显示 和 统计 分 析 ， 帮 助 管理 员 有 效 防御 网 络 资 源 滥用 、 蠕 虫 、 拒 绝 服 务 攻击 ， 以 确保 用 户 网 络 正 常 使 用 。 
(4) ЖАХУ. 

高 级 用 尸 可 以 根据 目 身 网 络 情况 ， 对 检测 规则 进行 定义 ， 制 定 针对 用 尸 网 络 的 高 效 策略 ， 以 加 强 入 侵 检测 系统 的 检测 准确 性 。 


(5) 警报 响应 


— 


对 警报 事件 进行 及 时 响应 ， 包 括 实 时 切断 会 话 连接 。 

(6) IP 碎 片 重组 

萨 客 吓 入 侵 检测 系统 能 够 进行 完全 的 IP 碎 片 重组 ， 发 现 所 有 基于 IP 碎 片 的 攻击 。 
(7) TCP 状 态 跟 路 及 流 重 组 


通过 对 TCP 协 议 状 态 的 跟 趴 ， 完 全 避免 因 单 包 匹 配 造 成 的 误 报 。 
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步骤 02: 选择 “监控 ”一 “常规 设置 ”菜单 项 ， 即 可 打开 “设置 ”对 话 框 ， 如 图 8-20 所 示 。 在 “常规 设置 ”选项 卡 中 可 对 数据 包 
缓冲 区 大 小 和 从 驱动 程序 读 取 数据 包 的 最 大 间隔 时 间 进 行 设置 。 


步骤 03: 在 “适配器 设置 ”选项 卡 中 可 看 到 供 选 择 的 网 卡 ， 如 图 8-21 所 示 。 由 于 该 检测 系统 是 通过 适配器 来 捕捉 网 络 中 正在 传输 
的 数据 ， 并 对 其 进行 分 析 ， 所 以 正确 选择 网 卡 是 能 够 捕捉 到 入 侵 的 天 键 一 步 。 
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图 8-20 “设置 ”对 话 框 


ivi 


| В ІН(С) | 


图 8-21 “适配器 设置 ”选项 卡 


步骤 04: 在 “saxll 入 侵 检测 系统 ” 主 窗口 种 选择 “设置 ”一 “别名 设置 ”菜单 项 ， 即 可 打开 “别名 设置 ”对 话 框 ， 在 其 中 可 对 
物理 地 址 、IP 地 址 、 端 口 进行 各 种 操作 ， 如 增加 、 编 辑 、 删 除 、 导 出 等 ， 如 图 8-22 所 示 。 


步骤 05: 选择 “设置 ”一 “安全 策略 设置 ”菜单 项 ， 即 可 打开 “安全 策略 ”对 话 框 ， 在 其 中 对 当前 所 选 策略 进行 行 生 、 查 看 、 局 
用 、 删 除 、 导 入 、 导 出 和 升级 等 操作 ， 如 图 8-23 所 示 。 
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图 8-22 “别名 设置 ”对 话 框 


4823 “安全 策略 ”对 话 框 


步骤 06: 选择 “设置 ”一 “专家 检测 设置 ”菜单 项 ， 即 可 打开 “专家 检测 设置 ”对 话 框 ， 在 其 中 对 网 络 中 的 所 有 通信 数据 进行 专 
级 智能 化 分 析 ， 并 报告 入 侵 事 件 ， 如 图 8-24 所 示 。 
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步骤 07: 选择 “设置 ”一 “选项 " 
否 启用 网 卡 地 址 、IP 地 址 和 端口 别名 等 属性 。 


步骤 08: 在 “选项 ”对 话 框 左边 列表 中 选择 “ 
增加 、 删 除 或 修改 操作 ， 
案 ， 它 们 是 不 能 被 删除 的 ， 但 可 以 修改 。 


步骤 09: 蛙 击 “增加 ”或 “修改 ”按钮 ， 即 可 打开 “定义 啊 应 万 案 ” 对 话 框 ， 在 其 中 可 对 名 称 、 响 应 动作 和 阻 断 
会 话 方式 ) 等 属性 进行 设置 ， 如 图 8-27 所 示 。 


”功能 项 ， 即 可 打开 “响应 方案 管理 ”对 话 框 ， 


系统 提供 了 “ 仅 记 录 日 志 ”、“ 阻 断 并 记录 日 志 ” 和 “干扰 并 记录 日 志 ” 3 种 默认 的 啊 应 


话 ” 才 可 以 设置 阻 断 
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“专家 检测 设置 ”对 话 框 


菜 蛙 项 ， 即 可 打开 “选项 ”对 话 框 ,如 图 8-25 所 示 。 人 在 左边 列表 中 选择 “显示 ” 


如 图 8-26 所 示 。 在 其 
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“« 选项 » 对 话 框 
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图 8-26 “响应 方案 管理 ”对 话 框 
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步骤 10: 在 “选项 ”对 话 框 左边 列表 中 选择 “ 咽 应 设置 ”一 “邮件 ”功能 项 ， 即 可 打开 “邮件 ”对 话 框 ， 在 其 中 对 友 送 邮件 所 使 
用 的 服务 器 、 账 号 、 密 码 、 接 收入 (多 个 接收 人 用 Ва) 和 邮件 正文 进行 设置 ， 如 图 8-28 所 示 。 


步骤 11: 在 “选项 ”对 话 框 左边 列表 中 选择 “响应 设置 ”一 “发 送 控 制 台 消 息 ”功能 项 ， 即 可 打开 “发 送 控 制 台 信息 ”对 话 框 ， 
在 其 中 设置 接收 消息 的 目标 主机 的 IP 地 址 和 消息 正文 (发送 主机 和 接收 主机 必须 安装 Messenger 服 务 ) 


等 属性 ， 如 图 8-29 所 示 。 

步骤 12: 在 “选项 ”对 话 框 左边 列表 中 选择 “响应 设置 ”一 “运行 外 部 程序 ”功能 项 ， 即 可 打开 “运行 外 部 程序 ”对 话 框 ， 在 其 
中 对 外 部 程序 的 完整 路 径 和 参数 进行 设置 ， 如 图 8-30 所 示 。 
步骤 13: 选择 “分 析 模 块 ”功能 项 ， 即 可 打开 “分 析 模 块 ”对 话 框 ， 在 其 中 对 各 个 分 析 模 块 的 参数 进行 个 性 化 的 设置 ， 例 如 是 否 
启用 该 分 析 模 块 、 检 测 的 端口 、 日 志 组 ;站 区 的 大 小 、 是 否 保 存 日 志 等 ， 如 图 8-31 所 示 。 
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4827 “定义 响应 方案 ”对 话 框 
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图 8-28 “邮件 设置 ”对 话 框 
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“发 送 控制 台 消 息 ”对 话 杠 
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图 8-30 “运行 外 部 程序 ”对 话 框 


步骤 14: 选择 “策略 升级 设置 ”功能 项 ， 即 可 打开 “策略 升级 设置 ”对 话 框 ， 如 图 8-32 所 示 。 通 过 定时 和 手工 两 种 方式 检测 策略 
知识 库 更 新 了 萨 客 断 入 侵 检 测 系 统 ， 并 目 动 完整 对 本 地 知识 库 的 更 新 。 如 果 选 择 目 动 更 新 还 必须 设置 更 新 的 日 期 和 时 间 。 
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图 8-31 “分 析 模 块 ”对 话 框 
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图 8-32 “策略 升级 设置 ”对 话 框 


步骤 15: 在 所 有 选项 设置 完成 后 单 击 “ 确 定 ”按钮 ， 即 可 完成 萨 客 断 入 侵 检测 系统 设置 。 
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在 完成 对 萨 客 跌 入 侵 检 测 系统 相 天 功能 后 ， 融 可 以 使 用 该 软件 来 防护 网 络 或 本 机 计算 机 的 安全 。 具 体 的 操作 步骤 如 下 。 


步骤 01: 在 “ 仿 客 晰 入 侵 检测 系统 ” 主 窗口 中 单 击 “ 开 始 ”按钮 或 选择 “监控 ”一 “开始 ” 莱 单 项 ， 即 可 对 本 机 所 在 的 局 域 网 中 
的 所 有 主机 进行 监控 ， 如 图 8-33 所 示 。 在 扫描 结 果 中 可 看 到 检测 到 的 主机 的 IP 地 址 、 对 应 的 MAC 地 址 、 本 机 的 运行 状态 以 及 数据 包 
统计 、TCP 连 接 情 况 、FTP 分 析 等 信息 。 
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图 8-33 ”扫描 结果 


步骤 02: 在 "Aio Xe 1% 卡 中 可 以 看 到 进 井 行 会 话 的 源 I|P 地 址 、 Umum 1. 目标 IP 地 址 、 目标 六 
数据 包 、 字 节 等 信息 ， 如 图 8-34 所 示 。 


` 


选项 ， 即 可 按照 某 个 目标 IP 地 址 来 显示 会 话 信息 ， 如 图 8-35 所 示 。 
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步骤 03: 如 果 想 分 类 查看 会 话 信息 ， 则 在 “会 话 信 息 ” 列 表 中 右 击 某 条 信息 ， 在 弹出 的 快捷 菜单 中 选择 “ 按 目 标 节 后 


事 


进行 过 


步骤 04: 在 “事件 ”选项 卡 中 可 对 分 类 统计 的 各 种 入 侵 事 件 次 数 、 采 用 日 志 详 细 记 录 的 入 侵 时 间 、 友 起 入 侵 的 计算 机 、 严 重 程 


及 用 的 万 式 等 信息 进行 查看， 如 图 8-36 所 示 。 


步骤 05: 在 “日 志 ” 选 项 卡 中 可 碍 看 HTTP 请 求 、 收 友 邮 件 信息 、FTP 传 输 、MSN 和 QQ 通 
还 可 将 其 保存 为 日 志文 件 ， 如 图 8-37 所 示 。 
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图 8-34 
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步骤 06: 在 ” 
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98-35 按 目 标 IP 地 址 显示 会 话 信息 


项 卡 中 可 自行 定义 日 志 的 显示 格式 ， 选 中 某 个 信息 后 右 击 ， 在 弹出 菜单 中 选择 “ 自 定义 列 ” ЗА 
框 ， 如 图 8-38 所 示 。 
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-36 “事件 ”选项 卡 
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图 8-37 “上 日志” 选项 卡 


在 左边 节点 列表 中 右 击 某 个 物理 地 址 ， 在 弹出 菜单 中 选择 “增加 别名 ”选项 ， 即 可 打开 “增加 别名 ”对 话 框 ， 如 图 8-39 
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步骤 08: 在 “别名 ”文本 框 中 输入 名 称 ， 单 击 “ 确 定 ”按钮 ， 即 可 使 该 物理 地 址 显示 刚 定义 的 名 称 ， 如 图 8-40 所 示 。 
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图 8-39 “增加 别名 ”对 话 框 
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图 8-40” 自 定义 的 物理 地 址 名 称 


8.6 ”用 WAS 检 测 网 站 


由 于 资金 和 技术 等 多 方面 原因 ， 很 多 网 站 的 安全 性 能 并 不 强 。 面 对 越 来 越 傻瓜 化 的 DDoS 工 具 ， 攻 击 者 甚至 不 需要 了 解 DDoS 束 
可 以 轻而易举 地 让 这 些 网 站 闪 痪 。 针 对 这 种 情况 ， 应 学 习 测 试 网 站 的 访问 量 承 受 压 力 近 术 。 


8.6.1 Web Application StressToolf&jfT 


Microsoft Web Application Stress Tool (WAS) 软件 由 微软 的 网 站 测试 人 员 所 开 上 友 ， 是 专门 用 来 进行 实际 网 站 压力 测试 的 一 
款 工 具 。 可 以 使 用 少量 的 Client 端 计算 机 仿真 大 量 用 户 上 线 对 网 站 服务 所 可 能 造成 的 影响 ， 在 网 站 上 线 之 前 先 对 所 设计 的 网 站 进行 如 
同 真实 环境 的 测试 ， 从 而 找 出 系统 潜在 的 问题 ， 对 系统 进行 进一步 的 调整 、 设 置 工作 。 


WAS 软 件 的 优势 主要 表现 在 如 下 几 个 万 面 。 
1) 对 于 需要 署名 登录 的 网 站 ， 它 允许 创建 用 户 账号 。 
2) 又 持 市 宽 调 节 和 随机 延迟 ， 以 更 真实 地 模拟 显示 情形 。 


3) 人 允许 为 每 个 用 户 存储 cookies 和 Active Server Pages (ASP) 的 session 信 息 。 


4) 支持 随机 的 或 顺序 的 数据 集 。 
5) 支持 Secure Sockets Layer (SSL) 协议 。 


6) 提供 一 个 对 象 模型 ， 可 以 通过 Microsoft Visual Basic Scripting Edition (VBScript) 处 理 或 者 通过 定制 编程 来 达到 开启 、 结 
束 和 配置 测试 脚本 的 效果 。 


Т) 人 允许 URL 分 组 和 对 每 组 的 点 击 率 的 说 明 。 


与 其 他 测试 工具 不 同 的 是 : WAS 软 件 可 以 使 用 任何 数量 的 客 尸 新 运行 测试 脚本 ， 全 部 都 由 一 个 中 央 主 客户 端 来 控制 。 


8.6.2 ”检测 网 站 的 承受 压力 

在 开始 录制 一 个 脚本 前 ， 需 要 准备 好 浏览 器 ， 清 除 浏览 器 中 的 临时 文件 。 否 则 ，WAS 也 许 不 能 记录 所 需 的 浏览 器 活动 ， 浏 览 器 可 
能 从 缓冲 区 而 不 是 从 所 请 求 的 服务 器 取得 请 求 页 面 。 

具体 的 操作 步 又 如 下 。 


步骤 01: 在 IE 浏 览 器 窗口 中 选择 “工具 ”一 “Internet 选 项 ”菜单 项 ， 即 可 弹出 “Internet 属 性 ”对 话 框 。 单 击 “ 常 规 ” 选 项 卡 
中 的 “删除 文件 ”按钮 ， 即 可 成 功 删 除 Internet 临 时 文件 ， 如 图 8-41 所 示 。 


步骤 02: 下 载 并 安 半 WA3S 软 件 ， 双 击 WAs 应 用 程序 图 标 ， 即 可 局 动 WAs 主 程序 。 由 于 是 第 一 次 运行 WAs 程 序 ， 将 会 弹出 Create 
new script 对 话 框 ， 询 问 以 什么 样 的 方式 创建 一 个 新 的 测试 脚本 ， 如 图 8-42 所 示 。 


步骤 03: 根据 需要 单 击 Record 按 钮 ， 将 会 弹出 Browse Recorder-Step 1 of 2 对 话 框 ， 可 以 指定 一 些 记 录 设 置 。 如 图 8-43 所 示 。 
在 清除 所 有 的 选择 框 后 ， 单 击 Next 按 钮 ， 将 会 弹出 Browse Recorder-Step 2 of 2 对 话 框 ， 如 图 8-44 所 示 。 
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图 8-41 “Internet 属 性 ”对 话 框 
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图 8-43 Browse Recotder-Step 1 of 2 对 话 框 


CE == 


Click Finish to have your browser open zo that the record session 


can begin. When done recording, click Stop Recording. 


Finish 


图 8-44 Browse Recotder-Step 2 of 2 对 话 框 


步骤 04: 单 击 Finish 按 钮 ，WAS 将 启动 一 个 浏览 器 窗口 以 便 记录 浏览 器 的 活动 情况 ， 同 时 WAS 会 补 置 于 记录 模式 。 在 浏览 器 地 
址 栏 中 输入 要 测试 的 网 站 地 址 ， 在 WASs 窗 口中 可 以 看 到 HTTP 信 息 跟 随 浏 览 活动 而 进行 实时 更 新 ， 如 图 8-45 所 示 。 
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图 8-45 WAS 主 窗口 


步骤 05: 当 完 成 了 站 点 浏 览 后 ， 返 回 到 WAS 主 窗口 。WAS 还 处 于 记录 状态 ， 单 击 Stop Recording 按 钮 ， 将 终止 记录 并 产生 一 个 
新 的 测试 脚本 ， 如 图 8-46 所 示 。 
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图 8-46 “脚本 测试 ”窗口 


步骤 06: 为 了 能 更 好 地 运行 性 能 测试 ， 还 需要 修改 测试 脚本 的 设置 。 单 击 左边 的 脚本 名 展开 脚本 信息 ， 找 到 Settings 标 签 并 单 击 
Settings 选 项 ， 即 可 在 右边 窗口 中 打开 Settings 视 图 ， 可 以 为 脚本 测试 指定 参数 设置 ， 如 图 8-47 所 示 。 选 择 Throttle bandwidth 复 选 
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步骤 07: 若 想 测试 需要 署名 登录 的 Web 丫 点 时 ，WAS 提 供 一 个 Users 特 性 ， 可 用 于 存储 多 个 用 户 的 用 户 名 、 密 码 和 cookie 信 息 。 
单 击 主 窗口 左 侧 列 表 中 的 Users 项 ， 双 击 窗 口 右 侧 列 表 中 的 Default 选 项 ， 即 可 打开 “用户” 视图 (默认 已 创建 1 个 用 户 ) 。 可 修改 用 
户 名 和 密码 使 用 ， 也 可 自己 建立 用 户 ， 如 图 8-49 所 示 。 


步骤 08: 单 击 Remove All 按 钮 ， 则 可 清除 所 有 记录 。 在 Number of new users 文 本 框 中 输入 创建 的 新 用 户 数 量 ， 在 Password 文 
本 框 中 输入 密码 ， 相 同 的 密码 会 赋 给 所 有 用 户 。 单 击 Create 按 钮 ， 用 户 表 单 就 会 填 满 指定 数量 的 用 户 。 
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图 8-49 “用 户 视图 ” 页 面 


又 09: 设置 完成 后 选择 Scripts 一 Run 荣 单项 ， 即 可 开始 测试 ， 如 图 8-50 所 示 。 


NF 


hunning script New Recorded Script 


Time Left: 00:00:20 


图 8-50 ”开始 测试 


8.6.3 ”进行 数据 分 析 


选择 View 一 Reports 荣 单项 ， 即 可 打开 “报告 ”窗口 ， 在 左 侧 列 表 中 将 展开 相应 的 报告 ， 如 图 8-51 所 示 。 检 查 9ocket Errors 部 


分 是 人 否 有 socket 相 天 错误 ( 值 不 为 0) 。 
以 下 为 每 种 socket 错 误 的 解释 。 


1) Connect: 客户 新 不 能 与 服务 器 取得 连接 的 次 数 。 如 果 这 个 值 偏 高 ， 应 检查 在 客 尸 端 与 服务 器 之 间 产 生 的 任何 次 在 的 错误 。 
从 每 个 客 尸 端 Ping 服 务 器 或 telnet 服 务 器 的 端口 80 验 证 你 得 到 正确 的 回应 。 
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图 8-51 “报告 ”窗口 


2) Send: 客户 端 不 能 正确 友 送 数据 到 服务 器 的 次 数 。 如 果 这 个 值 偏 高 ， 应 检查 服务 器 是 否 正 确 地 工作 着 。 人 在 客 尸 新 打开 一 个 济 
哆 器 然后 手工 单 击 站 点 页 面 验证 站 操 正 确 地 工作 着 。 


3) Кесу: 客 尸 问 不 能 正确 地 从 服务 器 接收 数据 的 次 数 。 如 果 这 个 值 偏 高 ， 执 行 和 Send 错 误 相同 的 操作 ， 还 要 检查 一 下 如 果 减 低 
负载 系数 ， 错 误 是 否 跟 着 减少 。 


4) Timeouts: 超时 的 线程 的 数目 ， 而 且 随 后 束 关 闭 了 。 如 果 这 个 值 偏 高 ， 在 客 尸 端 打 开 一 个 浏览 器 ， 然 后 手工 单 击 站 点 页 面 验 
证 是 否 在 只 有 一 个 用 尸 时 你 的 程序 也 会 很 慢 。 骨 做 一 个 不 同 负载 系数 的 压力 测试 ， 看 看 程序 的 潜在 特征 。 


如 果 socket 错 误 很 低 或 为 0， 在 左 侧 的 报告 列表 中 找到 Result Codes 部 分 ， 检 查 一 下 是 否 所 有 结果 代码 都 是 200，200 表 示 所 有 请 
求 都 被 服务 器 成 功 地 返回 。 如 果 找 到 大 于 或 等 于 400 的 结果 ， 则 单 击 报告 列表 中 的 Page Data 节 点 ， 展 开 所 有 项 目 ， 查 看 每 个 脚本 项 
在 右边 窗口 页 面 数据 的 报告 ， 找 出 出 现 错误 的 项 目 ， 如 图 8-52 所 示 。 
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图 8-52 ”查看 任意 一 个 脚本 项 的 报告 


不 断 增 减 用 尸 数量 和 改变 其 他 参数 测试 ， 可 以 最 大 限度 地 了 解 网 站 程序 和 服务 器 的 承受 能 力 ， 以 便 在 开始 提供 服务 之 前 限 止 
访问 量 及 其 他 参数 ， 保 证 网 站 的 正常 运行 。 


第 9 和 草 ”清理 入 侵 痕 迹 工 具 


一 旦 入 侵 者 与 远程 主机 /服务 器 建立 起 和 连接， 系统 吕 开 始 把 入 侵 者 的 IP 地 址 及 相应 操作 事件 记录 下 来 ， 此 时 系统 管理 员 融 可 以 通 
过 这 些 日 志文 件 找到 入 侵 者 的 入 侵 痕 迹 ， 从 而 获得 入 侵 证 据 及 入 侵 者 的 I|P 地 址 。 所 以 为 避免 留 下 入 侵 的 猴 迹 ， 黑 客 在 完成 入 侵 任务 之 
后 ， 还 要 尽 可 能 地 把 目 己 的 入 侵 痕 迹 清除 干净 ， 以 免 被 管理 员 友 现 。 


Ааа ка: 

- 黑客 留 下 的 脚印 

· 日 志 分 析 工 具 WebTrends 
` 清除 服务 器 日 志 

. Windows 日 志清 理工 具 


- 清除 历史 痕迹 


91 黑客 留 下 的 脚印 


日 志 束 是 对 系统 中 操作 进行 的 记录 ， 人 在 其 中 可 看 到 对 计算 机 操作 和 应 用 程序 的 运行 情况 ， 黑 客 入 侵 后 所 有 行动 也 会 被 日 志 记 录 下 
来 。 清 除 挥 日 志 是 黑客 入 侵 后 必须 要 做 的 一 件 事情 。 


9.1.1 “日 志 产 生 的 原因 
日 志 是 Windows 系 统 中 一 个 比较 特殊 的 文件 ， 它 记录 着 Windows 系 统 中 所 发 生 的 一 切 ， 例 如 各 种 系统 服务 的 启动 、 运 行 、 关 闭 
等 信息 。 日 志文 件 通 哩 有 应 用 程序 日 志 、 安 全 日 志 、 系 统 日 志 、DNS3 服 务 器 日 志和 FTP 日 志 等 。 
(1) 使 用 “事件 查看 器 ”查看 各 种 日 志 


利用 Windows 系 统 中 的 “事件 查看 器 ”可 以 查看 存在 的 安全 问题 以 及 已 经 植 入 系统 的 “间谍 软件 ”。 选 择 “ 开 始 ” 一 “ 挥 制 面 
板 ” 一 “管理 工具 ”一 “事件 查看 器 ”有 菜单 项 ， 即 可 打开 “事件 查看 器 ”窗口 ， 可 以 显示 出 的 事件 的 类 型 有 : Зак. Ве, (Е. ВК 
功 审核 、 失 败 审核 等 ， 如 图 9-1 所 示 。 
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可 以 利用 “事件 查看 器 ”来 得 看 天 于 “应 用 程序 ”、“ 安 全 性 ”、“ 系 统 ” 这 3 个 方面 的 日 志 。 每 一 方面 的 日 志 的 作用 如 下 。 


1) 应 用 程序 日 志 。 应 用 程序 日 志 包 含 由 应 用 程序 或 系统 程序 记录 的 事件 ， 如 ， 数 据 库 程 序 可 在 应 用 日 志 中 记录 文件 错误 。 程 序 
开 上 友 员 决定 记录 哪 一 个 事件 。 应 用 程序 日 志文 件 的 默认 存放 位 置 是 CN\WINDOWSNsystem32AwinevtALogs\Application.evtx， 如 
9-2 тх. 


2) 系统 日 志 。 系 统 日 志 包 含 Windows 的 系统 组 件 记录 的 事件 ， 如 ， 在 局 动 过 程 将 加 载 的 驱动 程序 或 其 他 系统 组 件 的 失败 记录 
等 。Windows 预 乞 确定 由 系统 组 件 记录 的 事件 类 型 。 系 统 日 志文 件 默认 位 置 是 


C:\WINDOWS\System32\Winevt\Logs\System.evtx， 如 图 9-3 所 示 。 
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图 9-2 ”应 用 程序 日 志 
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493 系统 日 志 
3) 安全 日 志 。 安 


安全 日 志 可 以 记录 安全 事件 ， 如 有 效 的 和 无 效 的 登录 尝试 ， 以 及 与 创建 、 打 开 或 删除 文件 等 资源 使 用 相关 联 的 事 
件 。 管 理 器 可 以 指定 在 安全 日 志 中 记录 什么 事件 。 例 如 ， 如 果 已 启用 登录 审核 ， 登 录 系统 的 尝试 将 被 记录 在 安全 日 志 里 。 安 全 日 志 
件 默 认 位 置 是 C:\WINDOWS\System32\Winevt\Logs\Security.evtx， 如 图 9-4 所 示 。 
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ЕЕ НЕНИИ Н 885599. 817898 Нл, BERMEAK RRNTT, Вх, ПАВЕ 
登录 成 功 或 失败 审核 来 判断 是 否 有 入 侵 者 尝试 登录 该 计算 机 ， 甚 至 可 以 从 这 些 日 志 中 找 出 入 侵 者 的 IP。 因 此 ， 事 件 日 志 是 管理 员 
和 入 侵 者 都 十 分 感 兴趣 的 部 分 。 入 侵 者 忌 是 要 想 万 设法 清除 挥 这 些 日 志 。 


提示 


如 果 不 确定 日 志 存 储 位 置 ， 选 择 “ 开 始 ” 一 “控制 面板 ”一 “管理 工具 ”一 “事件 查看 器 ”菜单 项 ， 打 开 “ 事 件 查看 器 ”窗口 
依次 单 击 Кодов А 一 “应 用 程序 ,在 “应 用 程序 ”页 面 右 侧 “ 操 作 ” 栏 单 击 “ 属 性 ， 可 弹出 “日 志 属 性 -应 用 程序 对 
话 框 ， 在 该 对 话 框 中 可 查看 到 日 志 路 径 及 应 用 程序 日 志 名 称 ， 如 图 9-5 所 示 。 系 统 日 志和 安全 日 志 路 径 查看 方法 类 似 。 


(2) 在 注册 表 里 的 查看 日 志 


计算 机 中 各 种 日 志 人 在 “注册 表 编 辑 器 ”窗口 中 也 可 以 找到 对 应 的 键 值 。 下 面 将 介绍 如 何在 注册 表 中 得 看 各 种 日 志 信 息 。 
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图 9-5 查看 日 志 存 储 路 径 


1) 应 用 程序 日 志 、 安 全 日 志 、 系 统 日 志 、DNS 服 务 器 等 日 志 的 文件 在 注册 表 中 的 键 为 
HKEY LOCAL MACHINE\system\CurrentControlSet\Services\Eventlog， 其 中 有 很 多 子 表 ， 其 中 可 查看 到 以 上 日 志 的 定位 目录 ， 
如 图 9-6 所 示 。 
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图 9-6 在 注册 表 中 查看 各 种 日 志 


2) Scheduler 服 务 日 志 在 注册 表 中 的 键 为 HKEY_ LOCAL MACHINENSOFTWAREMicrosoftSchedulingAgent, #П 9-7 


7Jvo 


(3) FTP 日 志 


FTP 日 志和 Is 日 志 在 黑 认 情况 下 ， 每 天 生成 一 个 日 志文 件 ， 包 括 当 天 的 所 有 记录 。 文 件 名 通 单 为 ex (年 份 ) 
这 样 使 得 管理 员 可 以 想 出 相应 的 对 策 。FTP 日 志 默 认 位 置 为 


从 日 志 里 能 看 出 黑客 入 侵 时 间 ， 使 用 的 I|P 地 址 以 及 探测 时 使 用 的 用 户 名 ， 
CAWINDOWS\system32\config\msftpsvc1\. 
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图 9-7 &J« Scheduler £ E № 


(4) |11S 日 志 


I1S 日 志 是 每 个 服务 器 管理 者 都 必须 学 会 查看 的 ， 服 务 器 的 一 些 状况 和 访问 IP 的 来 源 都 会 
lS 日 志 默 认 位 置 为 


务 器 管理 者 都 非 音 重要 ， 可 方便 网 站 管理 人 员 得 看 网 站 的 运营 情况 。 
CAWINDOWSVsystem32MogfilesNw3svc1N, 


(5) Scheduler 服 务 日 志 


记录 在 llS 日 志 中 ， 所 以 Is 日 志 对 每 个 服 


利用 Scheduler 服 务 可 以 将 任何 脚本 、 程 序 或 文档 安排 在 某 个 最 方便 的 时 间 运 行 。 


Scheduler 服 务 日 志 默 认 位 置 为 CN\WINDOWSNschedlgu.tx。 


9.1.2 ТАН 


Windows 网 络 操作 系统 中 包含 各 种 各 样 的 日 志文 件 ， 例 如 应 用 程序 日 志 、 


安全 日 志 、 系 统 日 志 、Scheduler 服 务 日 志 、FTP 日 


志 、WWW 日 志 、DNS 服 务 器 日 志 等 ， 其 扩展 名 为 log.txt， 


时 ， 这 些 日 志文 件 通 单 会 记录 下 用 户 操作 的 一 尝 相关 内 容 ， 


这 些 内 容 对 系统 安全 工作 人 员 相 当 有 用 。 比 如 对 系统 进行 了 IPC 探 测 ， 系 
统 惑 会 在 安全 日 志 里 迅速 地 记 下 探测 时 所 用 的 IP 地 址 、 时 间 、 用 户 名 等 信息 ; 而 用 FTP 探 测 ， 则 会 在 FTP 日 志 中 记 下 IP、 时 间 、 探 测 


所 用 的 用 户 名 等 信息 。 
黑客 们 在 获得 管理 员 权限 后 残 可 以 随意 破坏 计算 机 上 的 文件 ， 包 括 日 志文 件 ， 但 是 其 操作 融会 家 系统 日 志 所 记录 下 来 ， 所 以 黑客 
要 想 隐 藏 目 己 的 入 侵 蹊 迹 ， 融 必须 对 日 忘 进行 修改 。 黑 客 一 般 采 用 修改 日 志 的 方法 来 防止 系统 管理 员 友 现 目 己 的 踩 迹 ， 网 络 上 有 很 多 


专门 进行 此 类 功能 的 程序 ， 例 如 Zap、Wipe 等 。 
日 志文 件 是 微软 Windows 系 列 操 作 系 统 中 的 一 个 特殊 文件 ， 在 安全 万 面 起 着 不 可 奉 代 的 作用 。 它 记录 着 系统 的 一 举 一 动 ， 利 用 


日 志文 件 可 以 使 网 络 管理 员 快 速 对 潜在 的 系统 入 侵 做 出 记录 和 预测 。 所 以 为 了 防止 管理 员 友 现 计算 机 被 黑客 入 侵 后 ， 通 过 日 志文 件 坦 


到 入 侵 的 路 迹 ， 黑 客 一 般 都 会 在 断 开 与 入 侵 目 己 的 主机 连接 前 删除 入 侵 时 严 生 的 日 志 。 
对 于 网 上 求助 这 种 远程 的 判断 和 分 析 ， 必 须 借助 第 三 万 的 软件 分 析 日 志文 件 的 内 容 ， 分 析出 用 尸 系 统 的 大 部 分 故障 及 IE 浏览 器 被 


动 持 、 采 蕊 插件 、 流 记 软 件 以 及 部 分 的 木马 病毒 等 。 


92 日 志 分 析 工 具 WebTrends 


WebTrends Log Analyzer 是 一 款 功 能 强大 的 Web 流 量 分 析 软 件 ， 可 处 理 超 过 15GB 的 日 志文 件 ， 并 且 可 生成 关于 网 站 内 容 信息 
分 析 的 可 定制 的 多 种 报告 形式 ， 如 DOC、HTML、XLS 和 ASCII 文 件 等 格式 ; 还 可 处 理 所 有 符合 标准 的 Web 服 务 器 日 志文 件 ， 如 非 标 
准 的 、proprietary 等 日 志 格 式 。 还 可 以 通过 使 用 独立 运行 的 Scheduleri 计 划 程 序 自动 输出 流量 分 析 报 告 ， 为 管理 员 提 供 了 一 套 分 析 日 


志文 件 的 基本 解决 方法 。 


9.21 创建 日 志 站 所 
当 远 程 用 户 访问 服务 器 时 ，WebTrends 就 其 访问 进行 记录 记录 ， 还 可 以 通过 远程 连接 的 方式 来 访问 日 志 。 在 WebTrends 软 件 中 


创建 日 志 站 点 的 具体 操作 步骤 如 下 。 
步骤 01: 安 疼 WebTrends 完 毕 后 ， 汉 击 梨 面 上 的 快捷 图 标 ， 即 可 打开 WebTrends Product Licensing (输入 序列 号 ) 对 话 框 ， 


如 图 9-8 所 示 。 
全 行 一 个 全 新 的 版 本 软件 ”窗口 ， 则 况 明 该 序列 号 是 5 


步骤 02: 在 输入 序列 号 后 ， 单 击 Submit (提交 ) 按钮 ， 如 果 看 到 “可 以 运 


用 的 ， 如 图 9-9 所 示 。 
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图 9-8 WebTrends Product Licensing*j 7& НЕ 
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То add either a Maintenance Subscription ога 5 еггег Addon enter the appropriate serial number in the 
box below and click биһи. 
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图 9-9 “可 以 运行 一 个 全 新 的 版 本 软件 ”窗口 


步骤 03: 单 击 Close (关闭 ) 按钮 ， 即 可 打开 Professor WebTrends (М/ебТгепаѕ 5) 窗口 ， 如 图 9-10 所 示 。 单 击 Start 
Using the Product (开始 使 用 产品 ) 按钮 ， 即 可 打开 Registration (注册 ) 对 话 框 ， 如 图 9-11 所 示 。 
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图 9-10 Professor WebTrends 窗 口 


Registration 


Thank you for purchasing 
WebTrends! Please iba ош 
simple, automated registration 
process to access praduct 
news, updates, and technical 
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Reglster Later 


图 9-11 Registrations} ЛЕ 
步骤 04: 单 击 Register Later (以 后 注册 ) 按钮 ， 即 可 打开 WebTrends Log Analyzer 主 窗口 ， 如 图 9-12 所 示 。 


步骤 05: 单 击 New Profile (新 建文 件 ) 按钮 ， 即 可 打开 Add Web Traffic Profile-Title, URL (添加 站 点 日 志 标 题 ，URL) 对 话 
框 ， 如 图 9-13 所 示 。 在 Description (描述 ) 文本 框 中 输入 准备 访问 日 志 的 服务 器 类 型 名 称 ; 在 Log File Format (日 志文 件 格式 ) 下 
拉 列 表 中 看 以 看 出 WebTrends 支 持 多 种 日 志 格 式 ， 这 里 选择 Auto-detect log file type ( 目 动 监听 日 志文 件 类 型 ) 选项 。 
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99-12 Web Trends Log Analyzer В 0 


ы: АНЯ Weh Traffic Profile — Title, URI. 
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图 9-13 “添加 站 点 日 志 一 标题 ，URL ЯЗ ЛЕ 


步骤 06: 在 Log File Path (日 志文 件 路 径 ) 下 拉 列 表 中 选择 file:// 选 项 后 ， 单 击 浏览 按钮 -J， 即 可 打开 Log File Path (日 志文 件 
路 径 ) 对 话 杠 ， 如 图 9-14 所 示 。 


步骤 07: 在 其 中 选择 日 志文 件 后 ， 单 击 Select (选择 ) 按钮 ， 即 可 在“ 


添加 站 点 日 志 标 题 ，URL” 对 话 框 中 看 到 选择 的 日 志 
tt. 如 图 9-1 5 所 示 。 
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图 9-15 ”查看 选择 的 日 志文 件 


步骤 08: 单 击 “ 下 一 步 ” 按 钮 ， 即 可 打开 Add Web Traffic Profile-Internet Resolution (设置 站 点 日 志 -Internet 解 决 方案 ) 对 
话 框 ， 如 图 9-16 所 示 。 


步骤 09: 在 设置 Internet 域 名 采用 的 模式 后 ， 单 击 “ 下 一 步 ”按钮 ， 即 可 打开 Add Web Traffic Profile-Home Раде (设置 站 点 
пушка а а) 对 话 框 ， 如 图 9-17 所 示 。 
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4916 “设置 站 点 日 志 - Intetnet 解 决 方案 ”对 话 框 
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4917 “设置 站 点 日 志 一 站 点 首页 ”对 话 框 


步骤 10: 设置 站 点 首页 名 称 ， 并 在 Web Site URL 下 拉 列 表 中 选择 file:// 选 项 ， 单 击 浏览 按钮 ， 即 可 打开 “ 浏 哆 文件 来 ”对 话 框 ， 
在 其 中 选择 网 站 文件 ， 如 图 9-18 所 示 。 蛙 击 “ 确 定 ” 按 钮 ， 即 可 在 “设置 站 点 日 志 - 站 点 首页 ”对 话 框 看 到 选择 的 站 点 文件 ， 如 图 9- 
T9Hfrzn. 
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Ez Айй Web Traffic Profile — Ново Page 
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69-10 ”选择 的 站 点 文件 


: 单 击 “ 下 一 步 ” 按 钮 ， 即 可 打开 Add Web Traffic Profile-Filters (设置 站 点 日 志 -~ 过 滤 ) 对 话 框 ， 在 其 中 需要 设置 
WebTrend 对 站 点 中 哪些 类 型 的 文件 做 日 志 ， 这 里 黑 认 的 是 所 有 文件 类 型 (Include Everything) ， 如 图 9-20 所 示 。 


E12: 单 击 “下 一 步 ” 按 钮 ， 即 可 打开 Add Web Traffic Profile-Database and Real-Time (设置 站 点 日 志 -- 数 据 库 和 真实 时 
间 ) 对 话 框 ， 在 其 中 勾 选 Use FastTrends Database (使 用 快速 分 析 数 据 库 ) 复 选 框 和 Analyze log file in real-time (在 真实 时 间 分 
析 日 志 ) 复 选 框 ， 如 图 9-21 所 示 。 
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图 9-21 “设置 站 点 日 志 一 数据 库 和 真实 时 间 ” 对 话 框 


步骤 13: 单 击 “下 一 步 ” 按 钮 ， 即 可 打开 Add Web Traffic Profile-Advanced FastTrends (设置 站 点 日 志 -- 高 级 设置 ) 对 话 
如 图 9-22 所 示 。 


mi 


步骤 14: 在 其 中 勾 选 store Fast Trends database in Default location. (在 本 地 保存 快速 生成 的 数据 库 ) 复 选 框 ， 单 击 “ 完 
成 ”按钮 ， 即 可 完成 新 建 日 志 站 点 。 在 WebTrends Log Analyzer 主 窗口 的 列表 中 即 可 看 到 新 创建 的 日 志 站 点 ， 如 图 9-23 所 示 。 
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图 9-22 “设置 站 点 日 志 一 高 级 设置 ”对 话 框 
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9-25 ”新 创建 的 日 志 站 点 


22815: 在 WebTrends Log Analyzer 主 窗口 中 单 击 Scheduler (ЖЕ) 按钮 ， 即 可 打开 WebTrends Scheduler (WebTrends 
ШЕ) 窗口 ， 在 其 中 看 到 友 生 的 所 有 事件 ， 如 图 9-24 所 示 。 


步 又 16: 在 Scheduler Log (调度 日 志 ) 选项 卡 中 可 看 到 所 有 事件 的 名 称 、 类 型 、 事 件 等 属性 ， 如 图 9-25 所 示 。 在 创建 完 日 志 站 
点 后 ， 还 需要 等 待 一 定 的 访问 量 后 再 对 指定 的 网 站 进行 日 志 分 析 。 
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图 9-25 调度 日 志 选 项 卡 


9.2.2 ”生成 日 志 报 表 


当 创 建 的 站 点 有 一 定 的 访问 量 后 ， 融 可 以 利用 Trends 生 成 日 志 报 表 ， 进 行 日 志 分 析 。 
生成 日 志 报 表 的 具体 操作 步骤 如 下 。 


步骤 01: 在 WebTrends Log Analyzer 主 窗口 中 左边 列表 中 单 击 Report (报告 ) 按钮 ， 即 可 打开 Reports (报告 ) 对 话 框 ,在 其 
中 看 到 各 种 可 用 的 报告 模板 ， 如 图 9-26 所 示 。 


步骤 02: 选择 Default Summary (HTML) 选项 ， 单 击 Edit (编辑 ) 按钮 ， 即 可 打开 Edit Report (编辑 报告 ) 对 话 框 ， 在 
Content (内 容 ) 选项 卡 中 设置 要 生成 报告 包含 的 内 容 ， 如 图 9-27 所 示 。 


re Report = 


Avallabie Нероп! Template: 

. | Description | "Save-As" герой 
Pdvarlising Summary [HT HL] AADVERTISE.H TM 
Billing Summary [HT ML] ABILLIMR.H TM 

| Complete Summary [H ТМ | .ALUTFAPLETE.HT ti 


F 
Defaut Summary [MS Excel ADEFALILT LS ЗГЕШЕ 


Detak Summan MS Word] AUEFALLT.DULIC Formal | 


[е аш Summar [Т ext) ABDEFALLT. TAT 
Esec Summam [HT ML) AESNXELLITIZE:H TM 
FIF Summary [H МЦ) AFIPHTM 

Intranet Report [HTML] A MTRAMHET.HT MN 
Ма ела Summa [HT L] АМАЕКЕТІМА.НТМ 
Рози Summan [HTML] | РЕП» НТМ 


wi 
= 
LE 
T 
Т 
ғ 
s 


16 saved герой terrplates Мо on-demand герой running 


Wew Frevicuzy Ganeraed Нерсе! 


# 9-26  Reports*] tE 4E 
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49-27 Edit Report 对 话 框 


步骤 03: 在 Report Range (报告 范围 ) 选项 卡 中 可 以 设置 报告 时 间 范 围 ， 这 里 选择 All of log 选 项 ， 如 图 9-28 所 示 。 在 
Format (格式 ) 选项 卡 Report Format (报告 格式 ) 列表 中 选择 HTML Document (HTML 文 件 ) 选项 ， 如 图 9-29 所 示 。 


步骤 04: 在 Save As/Mail To (另存 为 /邮件 ) 选项 卡 中 设置 生成 报告 的 保存 格式 ， 如 图 9-30 所 示 。 在 Style (样式 ) 选项 卡 中 设 
置 报告 的 标题 、 语 言 、 样 式 等 属性 ， 如 图 9-31 所 示 。 
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图 9-28 报告 范围 选项 卡 
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99-29 ”格式 选项 卡 
Ex Edid Report: Default Summary (НТИ. ) 
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图 9-30 另存 为 /邮件 选项 卡 
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4931 样式 选项 卡 


步骤 05: 单 击 OK 按 钮 ， 即 可 返回 “报告 ”对 语 框 。 单 击 start (开始 ) 按钮 ， 即 可 对 选择 的 日 志 站 点 进行 分 析 并 生成 报告 ， 如 图 
9-32 所 示 。 待 分析 完毕 后 ， 即 可 看 到 HTML 形 式 的 报告 ， 在 其 中 可 以 看 到 该 站 点 的 各 种 日 志 信 息 ， 如 图 9-33 所 示 。 
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图 9-32 ”对 站 点 进行 分 析 
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图 9-33 ”生成 的 报告 


由 于 WebTrends 与 Office 兼 容 性 很 好 ， 所 以 如 果 想 保存 生成 的 日 志文 件 ， 最 好 选择 以 电子 表格 的 形式 存档 ， 以 供 日 后 分 析 。 通 过 
查看 日 志 可 以 得 到 很 多 有 用 的 信息 ， 如 某 个 网 站 的 某 个 网 页 访问 量 很 大 ， 就 表示 该 网 页 相关 方面 的 内 容 应 该 增加 ， 否 则 可 以 取消 一 些 
网 页 内 容 。 从 安全 方面 来 看 ， 通 过 仔细 查看 日 志 ， 还 可 以 了 解 到 谁 对 哪些 站 点 进行 扫描 、 扫 描 时 间 。 这 是 因为 当 黑 客 扫 描 网 站 时 ,也 
相当 于 对 网 站 进行 访问 。 访 访问 会 被 WebTrends 全 部 记录 下 来 ， 网 络 管理 员 可 以 根据 日 志 来 防御 黑客 入 侵 攻 击 ， 所 以 要 养 成 查看 日 
志 的 习惯 。 


9.3 ”清除 服务 器 日 志 


随 看 日 志 的 增多 ， 往 往 会 加 重 服务 器 的 负 何 ， 所 以 要 及 时 删除 服务 器 的 日 志 。 删 除 服务 器 日 志 单 用 的 方法 有 手工 删除 和 通过 批 处 
理 文 件 删除 两 种 方式 。 


9.3.1 手工 删除 服务 器 日 志 


在 入 侵 过 程 中 ， 远 程 主机 的 Windows 系 统 会 对 入 侵 者 的 登录 、 注 销 、 连 接 、 甚 至 复制 文件 等 操作 进行 记录 ， 并 把 这 些 记录 保留 
在 日 志 中 。 在 日 志文 件 中 记录 着 入 侵 者 登录 时 所 有 的 账号 以 及 入 侵 者 的 IP 地 址 等 信息 。 入 侵 者 通过 多 种 途径 来 探 除 留 下 的 痕迹 ， 往 往 
是 在 远程 被 控 主 机 的 “控制 面板 ”窗口 中 打开 事件 记录 窗口 ， 在 其 中 对 服务 器 日 志 进 行 手 工 清 除 。 


具体 的 操作 步骤 如 下 。 


步骤 01: 入 侵 者 先 用 IPC$ 连 接 过 之 后 ， 在 远程 主机 中 依次 单 击 “ 开 始 ” 一 “管理 工具 ”一 “计算 机 管理 ”， 打 开 “ 计 算 机 管 
理 ” 窗 口 ， 如 图 9-34 所 示 。 


步骤 02: 展开 “计算 机 管理 (本 地 ) ”一 “系统 工具 ”一 “事件 查看 器 ”选项 ， 打 开 事 件 记 录 窗 格 ， 其 中 的 事件 类 型 分 为 6 类 : 
天 键 、 错 误 、 警 告 、 信 息 、 审 核 成 功 及 审核 失败 ， 如 图 9-35 所 示 。 
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69-55 ”查看 事件 


步骤 03: 选 定 某 一 类 型 的 日 志 ， 人 在 其 中 选择 具体 事件 后 右 击 选 择 “ 查 看 此 事件 的 所 有 实例 ”选项 ， 如 图 9-36 所 示 。 称 等 片刻 ， 即 
可 显示 该 事件 出 现 的 次 数 以 及 相 天 信息 ， 如 图 9-37 所 示 。 各 要 删除 访 事 件 ， 在 右 侧 操作 栏 单 击 “ 删 除 ” 选 项 ， 可 弹出 “事件 查看 
器 ”对 话 框 ， 选 择 “ 是 ” 即 可 删除 此 事件 ， 如 图 9-38 所 示 。 
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图 9-37 事件 信息 
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图 9-38 “事件 查看 器 ”对 话 框 


9.3.2 ”使 用 批 处 理 清 除 远 程 主机 日 志 


一 般 情况 下 ， 日 志 会 忠实 地 记录 下 它 接收 到 的 任何 请 求 ， 用 尸 可 通过 查看 日 志 来 友 现 入 侵 的 企图 ， 从 而 保护 目 己 的 系统 。 所 以 黑 
客人 在 入 侵 系统 成 功 后 第 一 件 事 便 是 清除 该 计算 机 中 的 日 志 ， 探 去 目 己 的 痕迹 。 还 可 以 通过 创建 批 处 理 文件 来 删除 日 志 ， 具 体 的 操作 步 
又 如 下 。 


步骤 01: 在 记事 本 中 编写 一 个 可 以 清除 日 志 的 批 处 理 文件 ， 如 图 9-39 所 示 。 


@del C:\Windows\system32\logfiles\*.* 
@del C:\Windows \system32\config\*.evt 
@del C:\Windows \system32\dtclog\*.* 
@del C:\Windows Nsystem32N*.log 

@del C:NWindows Nsystem32N*.txt 

@del C:NWindows N*.LxL 

@del C:NWindows LN*.log 

@del c:Ndel.bat 


步骤 02: 选择 “文件 ”一 “另存 为 ”菜单 项 ， 即 可 打开 “另存 为 ”对 话 框 ,如 图 9-40 所 示 。 在 “保存 类 型 ”下 拉 列 表 中 选择 “所 
有 文件 ”选项 ， 在 “文件 名 ”文本 框 中 输入 del.bat， 单 击 “ 保 存 ” 按 钮 ， 即 可 将 上 述 文件 保存 为 del.bat。 


с. vh ME eos ee emm * 
C:\Windows systeemis config, evt 
C:\Windows levetem3Zidtcelogswk, + 
С: паса Veystemoz Ж, log 

САМ паси сузе, txt 
C:\Windows Vk txt 

C:\Windows ВЖ, log 

с! де! bat 


9-39 ”输入 清除 日 志 的 批 处 理 代 码 


кт 


ДІ 5Ю-5459ас50а2Ғ8В013118-2102644-: 2013/12/31 10:24 
Ji с03744ғ220е115957с 2014/7/15 9:09 
ftc2010 2014/3/7 8:26 

Ji inetpub 2013/12/18 10:55 
d Intel 2012/6/13 17:14 


Ш Efsensar 2014/3/24 9:12 
J Pregram Files 2014/9/10 17:21 
Ji RsABIN 2013/12/31 14:50 
Ji TEMP 2014/8/19 18:03 
0 ума dram 2n14/9n1 9-01 


图 9-40 “另存 为 ”对 话 框 


步骤 03: 表 新 建 一 个 批 处 理 文件 ， 并 将 其 保存 为 clear.bat 文 件 ， 如 图 9-41 所 示 。 


(сору del.bat \\1\с$ 

бесһо 癌 肉 鸡 复制 本 机 的 gel .bat..… 

@рзехес \\1 c:\del.bat 

деспо 在 肉鸡 上 运行 del рак, ЖЕН E... 


其 中 echo 是 DOS 下 的 回 显 命令 ， 在 它 的 前 面 加 上 “@” 前 缀 字符 ， 表 示 执 行 时 本 行 在 命令 行 或 DOS 里 面 不 显示 ， 它 是 删除 文件 
的 命令 。 


D 新 建文 本 文档 tt lima 0000000 

южна БЕСІ №20) БЕЛЛ ЕВН) 保存 至 有 十 云 笔记 [F9 
Есет. |ж 

lücopy del. bat HEN 


techo MAEA AALA del. bat ПЕ 


&psexec AL с: 41. bat 
nidi icon ЕЕ 51 т4е1. bat, БЕН М НЕСЕ 


图 9-41  clear.bat x 48-49 4, 


步骤 04: 假设 已 经 与 iP 地 址 为 192.168.0.6 的 主机 进行 了 IPC 连 接 之 后 ， 在 “命令 提示 符 ” 窗 口中 输入 clear.bat 192.168.0.6ав 
令 ， 即 可 清除 该 主机 上 的 日 志文 件 。 


94 Windows 日 志清 理工 具 


当日 志 为 用 户 记 录 厦 系统 所 友 生 的 一 切 的 时 候 ， 用 尸 同样 也 需要 规 学 管理 日 志 ， 但 是 庞大 的 日 志 记 录 又 令 用 户 汇 然 失 措 ， 需 要 使 
用 专门 的 工具 对 日 志 进 行 分 析 、 汇 总 ， 并 从 日 志 记 录 中 获取 有 用 的 信息 ， 以 便 针 对 不 同 的 情况 采取 必要 的 措施 。 


9.4.1 elsaveT E 


elsave&é —sAE/IMATBUTFRISER HIER, (14 АЛМУРАТ АЛЛАУН л, ЖЕЛДЕН; "125" НН 
天 的 日 志 。 


命令 格式 为 elsave[-s\\server][-| log][-F file][-C][-q]， 其 中 各 个 参数 的 合 义 如 下 。 


- -5\\зегуег: 指定 远程 计算 机 。 


- 1105: 指定 日 志 类 型 ， 其 中 application 为 应 用 程序 日 志 ; 参数 system 为 系统 日 志 ; 参数 secutity 为 安全 日 志 。 
Ее: 指定 保存 日 志文 件 的 路 径 。 
--С: 清除 日 志 操 作 ， 注 意 C 要 大 写 。 
' -q: 把 错误 信息 写 入 日 志 。 
使 用 elsave.exe 删 除 远程 主机 中 日 志 的 具体 操作 步骤 如 下 。 


步骤 01: 将 elsave 人 存储 于 E 盘 根 目 录 ， 如 图 9-42 所 示 。 


gog- ЕГЕТ ғ iid (E) » 


айшы me 


(ЕНІН ӨШІР) ВЕ — шын) 
| ща” шіл анин 


| Ж ағы Ги 
в ти 
m =m i 
3j mnis 


жесін alineo cows md5icrea, qr.zip 
1 cs е 
її] РРТУЙ ЕП 
B ап 
| m ER 


| [| ws md5imzJ-v1.0.n МісгазеН. МЕТЕ тынын multipraxy.rar 
a) ЕТЕ p "ümeworkV4.ra n 


а ВЕ = г 


elsave,.exe 


mmm 
ГЕ I Ем БА: 2013/12/30 11:30 
X: О зет 
ПЖ НЕ 2012/12/20 11:20 


图 9-42  elsave.exe 


步骤 02: 在 本 地 “命令 提示 符 ” 窗 口中 输入 net қынды аны “输入 密码 ”提示 信息 ， 
如 图 9-43 所 示 。 在 其 中 输入 远程 主机 的 密码 后 ， 即 可 与 远程 主机 /服务 器 进行 连接 用 IPC$ 连 接 。 


步骤 03: 在 本 地 “命令 提示 符 ” 窗 口中 输入 e:， 按 回 车 键 切 换 至 E 盘 根 目 录 。 然 后 输入 elsave-s\\192.168.0.7-l1 application-C 命 
令 ， 即 可 删除 远程 计算 机 中 的 应 用 程序 日 志 ， 如 图 9-44 所 示 。 


HN EEG: CAWindowsYsystem32WVcmd.exe 
icrosoft Windows | HI A 6.1.261 | 


REY PTA с> 2009 Microsoft Corporation. TF. a PIS A], 


С: sDocuments and Settings “Айтіпісекабак>са ciN 


Cnet use *192.168.0.7"NipcS Zuser:administratom 


密码 或 用 户 名 在 NSM92.168.0.7Nipc$t TH 


ЭЛ. 'adainistrator’ 的 密码 来 连接 到 ›192.168.0.?7’: „ 


图 9-43 “与 远程 主机 建立 IPC$ 连 接 


管理 员 : CMWindows\system32\cmd.,exe 
BPE- -1 “арр4асаб10оп“ -С 


КҮ, 


图 9-44 删除 远程 主机 中 应 用 程序 日 志 


步骤 04: 如 果 想 删除 该 远程 主机 中 的 系统 日 志 ， 则 在 “命令 提示 符 ” 窗 口中 输入 命令 elsave-S\192.168.0.7-| system-C， 即 可 


将 其 删除 ， 如 图 9-45 所 示 。 


步骤 05: 在 “命令 提示 符 ” 窗 口中 输入 elsave-s\\192.168.0.7-| security-C 命 令 ， 即 可 清除 远程 主机 的 安全 日 志 ， 如 图 9-46 所 


。 在 输入 命令 时 要 注 意 命令 的 最 后 一 个 参数 C， 该 参数 一 定 要 大 写 ， 否 则 命令 在 运行 时 束 会 出 错 。 


Я 


步骤 06: 在 本 地 “命令 提示 符 ” 窗 口中 输入 net иѕе\\192.168.0.7\1рс$/адеіав<, BIERI PC Ее. СНЕ, RERE 
了 远程 主机 中 的 事件 日 志 。 


ЕҢ ЕРЕ: CNWindowsvsystem32Ncmd exe 


了 


89-45 ”删除 系统 日 志 


EN EEG: CAWiIndowsYsystem32Xcmd.exe 


КГЕЕТІТТ —2 “\172.168.Й.г —1 “security > 


` = “а 


жне, ЧЕН, tumAjRClearLogl E, НАРА РЕ плевен, ЕЕЕ. ЄЗ) ЕКЕ на 
中 运行 ， 利 用 它 可 以 清理 Windows 的 一 般 日 志 ， 包 括 系 统 日 志 、 安 全 日 志 与 程序 运行 日 志 。clearlogs 的 命令 格式 为 : 


clearlogsNNcomputername]<-app/-sec/-sys> , 


-app= 应 用 程序 日 志 


下 面 以 清除 192.168.0.16 机 器 上 的 事件 日 志 为 例 进 行 介绍 。 具 体 的 操作 步骤 如 下 。 


步骤 01: 用 IPC$ 连 接 把 clearlogs 上 传 到 远程 计算 机 。 在 MS-DOS 命 令 提示 符 窗 口中 输入 命令 net 
useW192.168.0.16Nipc$" "/Susan, 


步骤 02: 清除 远程 主机 上 的 日 志 。 再 通过 net time 命 令 得 看 远程 计算 机 的 系统 时 间 ， 再 用 AT 谷 令 建立 一 个 计划 任务 来 执行 
clearlogs.exe 文 件 : AT 时 间 c:Nclear.bat。 


clearlogs \\192.168.0.16 -app ”清除 远程 计算 机 的 应 用 程序 日 志 
clearlogs \\192.168.0.16 -sec ”清除 远程 计算 机 的 安全 日 志 
clearlogs \\192.168.0.16-зуз 清除 远程 计算 机 的 系统 日 志 


或 者 为 了 更 安全 一 点 ， 也 可 以 建立 一 个 批 处 理 文件 clear.bat。 


@echo off 
clearlogs -app 
clearlogs -sec 
clearlogs 一 SYS 
del clearlogs.exe 
del c.bat 

exit 


步骤 03: 断 开 |PC$ 和 连接 ， 使 用 命令 net use\\192.168.0.16\ipc$/del。 经 过 上 述 操作 之 后 ， 远 程 主机 中 的 日 志 记 录 就 可 以 被 清除 


通过 执行 上 述 命 令 ， 即 可 轻松 将 自己 入 侵 的 日 志清 除 干净 ， 不 必 一 个 个 去 六 苦 查找 各 项 日 志文 件 的 存放 位 置 后 再 清除 ， 这 两 个 小 
工具 会 目 动 帮助 用 户 完 成 这 尝 烦 琐 的 事情 。 但 此 工具 只 能 删除 默认 文件 夹 中 的 日 志文 件 ， 如 果 目 标 服 务 器 的 网 管 将 日 志文 件 位 置 改 仓 
到 其 他 文件 夹 中 ， 这 个 工具 残 不 能 清除 。 


9.5 ”清除 历史 痕迹 


在 使 用 计算 机 的 过 程 中 ， 系 统 会 将 用 户 在 计算 机 上 的 所 有 操作 都 记录 下 来 ， 用 户 可 以 方便 地 得 阅 以 前 的 操作 。 但 这 些 记录 也 会 家 
黑客 利用 ， 为 了 保护 计算 机 的 安全 ， 需 要 定期 清理 系统 中 保 仔 的 各 种 历史 痕迹 。 


9.5.1 “清除 网 络 历史 记录 
在 默认 情况 下 ， 上 浏览 器 具有 目 动 记 录 的 功能 ， 利 用 该 功能 可 以 将 用 尸 和 输入 的 一 泽 表 单 信 息 和 浏 贞 网 页 等 信息 记录 下 来 ， 这 样 可 
以 提高 用 户 浏 览 重复 网 页 和 进行 重复 性 输入 的 效率 。 但 是 ， 这 也 给 黑客 提供 了 方便 。 下 面 将 介绍 如 何 清除 上 浏览 器 中 各 种 历史 记录 。 
(1) 清除 Cookie、 历 史记 录 


用 户 在 访问 网 站 时 ，IE 浏 砚 器 会 目 动 将 用 户 访问 过 的 网 页 保存 到 系统 的 History 文 件 夹 中 ， 这 样 用 户 融 可 以 通过 该 文件 来 了 解 某 段 
时 间 内 的 所 有 浏览 网 页 记录 。 为 了 避免 上 网 隐私 的 泄露 ， 有 必要 清除 访问 网 页 的 历史 记录 。 下 面 介绍 清除 网 页 历史 记录 的 操作 步骤 。 


步骤 01: 在 IE 浏览 器 中 选择 “工具 ”一 “Internet 选 项 ”菜单 项 ， 即 可 打开 “Internet 选 项 ”对 话 框 ， 如 图 9-47 所 示 。 
在 “Internet 选 项 ”对 话 框 的 “常规 ”选项 卡 下 ， 单 击 “ 浏 览 历史 记录 ”选项 区 域 中 的 “删除 ”按钮 。 


=, 


i = Жа 
= - = -mm 
i = ESE Ë | : | | 
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D А жена АЗАЛ -Е ЯЕ (В) 
© 从 主 内 开始 H 


HRE 一 一 
[mi SIE DEWR Cookies 保存 且 密 码 和 网 内 表单 信息 。 
Xena pp леж (4) 


图 9-47 “Internet 选 项 ”对 话 框 


步骤 02: 打开 “删除 浏 唤 历 史记 录 ” 对 话 框 ， 如 图 9-48 所 示 。 勾 选 Cookie 和 网 站 数据 、 历 史记 录 等 选项 ， 蛙 击 “ 删 除 ” 按 钮 ， 
即 可 清除 保存 在 网 页 中 的 Cookie、 历 史记 录 等 。 


(2) 清除 表单 和 密码 记录 


在 默认 的 情况 下 ， 正 浏览 器 是 局 用 “ 目 动 完成 ”功能 ， 该 功能 极 大 地 方便 了 用 户 快 速 输入 相同 的 内 容 ， 但 黑客 也 会 利用 保存 的 用 
尸 名 和 密码 信息 来 窃取 用 户 的 数据 。 从 安全 角度 出 友 ， 需 要 清除 表单 并 取消 目 动 记录 表单 的 功能 。 清 除 1E 浏 网 器 中 表单 的 具体 操作 步 


又 如 下 。 


步骤 01: 在 IE 浏览 器 中 选择 “工具 ”一 “Internet 选 项 ”菜单 项 ， 即 可 打开 “Internet 选 项 ”对 话 框 ,选择 “内 容 ” 选 项 卡 ， 
图 9-49 所 示 。 
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图 9-48 “删除 浏览 历史 记录 ”对 话 框 
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4949 “内 容 ” 选 项 卡 


步骤 02: 人 在 “内 容 ” 选 项 卡 “ 目 动 完成 ”选项 区 域 中 单 击 “ 设 置 ” 按 钮 ， 即 可 打开 “ 目 动 完成 设置 ”对 话 框 ， 在 其 中 取消 勾 选 所 
复 


有 的 复 选 框 ， 单 击 如 图 9-50 所 示 。 单 击 “ 确 定 ” 按 钮 ， 即 可 取消 保存 地 址 栏 、 表 蛙 、 表 单 上 的 用 尸 名 和 密码 等 内 容 。 


步骤 03: 各 要 清除 以 表 的 表单 和 密码 记录 ， 单 击 “ 删 除 目 动 完成 历史 记录 ”按钮 ， 此 时 打开 “删除 浏 秽 历史 记录 ”对 话 框 ， 如 图 
9-51 所 示 。 单 击 “ 删 除 ” 按 钮 ， 即 可 删除 以 前 保存 的 表单 和 密码 记录 。 


“自动 完成 ”会 列 出 可 能 与 你 以 前 键入 或 访问 的 条 目 相 
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(3) 清除 已 访问 链接 颜色 


当 单 击 网 页 上 一 个 链接 后 ， 该 链接 融会 变 成 另外 一 种 颜色 ， 标 识 该 链接 家 访问 过 ， 这 样 可 以 避免 重复 访问 已 经 访问 过 的 链接 。 但 
不 同 颜色 的 链接 也 会 导致 用 户 隐 私 泄露 ， 因 为 它 很 明显 地 标识 出 用 户 访问 的 网 页 。 清 除 网 页 中 已 访问 链接 颜色 的 具体 操作 步骤 如 下 。 


步骤 01: 在 IE 浏览 器 中 选择 “工具 ”一 “Internet 选 项 ”菜单 项 ， 即 可 打开 “lnternet 选 项 ”对 话 框 ， 如 图 9-52 所 示 。 在 “ 常 


规 ” 选 项 卡 中 单 击 “ 辅 助 功能 ”按钮 ， 即 可 打开 “辅助 功能 ”对 话 框 ， 如 图 9-53 所 示 。 
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图 9-52 “常规 ”选项 卡 
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图 9-53 “辅助 功能 ”对 话 框 
步骤 02: 在 其 中 取消 勾 选 所 有 的 复 选 框 ， 单 击 “ 确 定 ” 按 钮 返回 到 “Internet 选 项 ”对 话 框 ， 单 击 “ 颜 色 ” 按 钮 ， 即 可 打开 “ 凑 
色 ” 对 话 框 ， 如 图 9-54 所 示 。 


步骤 03: 单 击 “ 访 问 过 的 ”文本 框 中 的 颜色 块 ， 即 可 打开 “ 赢 色 ”对 话 框 ， 在 其 中 选择 相应 闸 色 ， 如 图 9-55 所 示 。 单 击 “ 确 
”按钮 ， 即 可 将 文字 设置 成 指定 的 颜色 。 及 用 同样 方式 ， 可 设置 其 他 的 颜色 。 注 意 将 访问 过 的 超 链 接 、 未 访问 超 链 接 设置 为 同样 的 
颜色 ， 这 样 访问 过 的 链接 束 不 会 补 看 出 了 ， 如 图 9-56 所 示 。 
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9.5.2 使 用 “Windows 优 化 大 师 ” 进 行 清理 


使 用 “Windows 优 化 大 师 ” 可 有 效 帮 助 用 户 了 解 目 己 的 计算 机 软 硬 件 信 息 ， 还 可 以 清理 系统 运行 时 产生 的 垃圾 、 修 复 系统 故障 
及 安全 漏洞 ， 从 而 维护 系统 的 正常 运转 。 


使 用 “Windows 优 化 大 师 ” 删 除 各 种 历史 记录 的 具体 操作 步骤 如 下 。 


步骤 01: 下 载 并 安装“Windows 优 化 大 师 ” 后 ， 汉 击 梨 面 上 的 快捷 图 标 ， 即 可 打开 “Windows 优 化 大 师 ” 主 窗口 ， 如 图 9-57 所 
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步骤 02: 在 左边 列表 的 “系统 清理 ”栏目 下 单 击 “历史 痕迹 清理 ”按钮 ， 即 可 打开 “历史 痕迹 清理 ”窗口 ， 如 图 9-58 所 示 。 
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9-58 “历史 痕迹 清理 ”窗口 


步骤 03: 选择 需要 扫 摘 的 项 目 (也 可 以 单 击 “全 选 ” 超 链接 按钮 选择 全 部 的 选项 ) 后 ， 单 击 “ 扫 摘 ” 按 钮 ， 即 可 进行 扫 搞 。 在 扫 
搞 的 过 程 会 将 扫 摘 的 各 种 历史 狠 迹 显示 在 列表 中 ， 如 图 9-59 所 示 。 街 扫 摘 结束 后 ， 单 击 “ 全 部 删除 ”按钮 ， 即 可 打开 “删除 所 有 扫 摘 
到 的 历史 记录 痕迹 ”提示 框 ， 如 图 9-60 所 示 。 
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图 9-59 ”扫描 历史 痕迹 


步骤 04: 蛙 击 “确定 ”按钮 ， 即 可 删除 扫 摘 出 来 的 全 部 历史 记录 。 符 全 部 删除 后 ， 下 面 的 窗口 中 将 没有 项 目 。 
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9.5.3 ”使 用 CCleaner 


CCleaner 是 一 款 系统 优化 和 隐私 保护 工具 ， 主 要 作用 是 清除 Windows 系 统 不 再 使 用 的 垃圾 文件 ， 以 节省 更 多 硬盘 空间 。 其 另 
大 功能 是 清除 使 用 者 的 上 网 记录 。 该 工具 可 以 对 临时 文件 夹 、 历 史记 录 、 回 收 站 等 进行 垃圾 清理 ， 也 可 对 注册 表 进 行 垃圾 项 扫描 、 清 


I. 
使 用 CCleaner 清 除 系 统 垃圾 的 具体 步骤 如 下 。 


步骤 01: 下 载 并 安装 CCleaner V2.31 软 件 后 ， 双 击 桌面 上 的 快捷 图 标 ， 即 可 打开 Piriform CCleaner 主 窗口 ， 如 图 9-61 所 示 。 在 
其 中 勾 选 “ 目 动 完成 表单 历史 ” 复 选 枉 ， 单 击 “ 分 析 ” 按 钮 ， 即 可 扫 摘 出 本 地 计算 机 中 和 存在 的 各 种 临时 文件 ， 并 列 出 每 种 蜡 时 文件 的 
个 数 ， 如 图 9-62 所 示 。 
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图 9-62 分析 存在 的 临时 文件 


步骤 02: 单 击 “运行 清洁 器 ”按钮 ， 即 可 看 到 “将 会 永久 删除 系统 上 的 这 些 文件 ”提示 框 ， 如 图 9-63 所 示 。 单 击 “ 确 定 ” 按 钮 ， 
即 可 删除 扫 摘 出 来 的 临时 文件 ， 待 删除 结束 后 ， 即 可 看 到 “清除 完成 ”提示 信息 ， 如 图 9-64 所 示 。 
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99-63 ”永久 删除 文件 提示 框 


步 又 03: 在 CCleaner 中 不 仅 可 以 清除 系统 中 的 临时 文件 ， 还 可 以 清除 应 用 程序 中 的 历史 记录 。 人 在 “应 用 程序 ”选项 卡 中 勾 选 相 
应 的 复 选 枉 ， 选 择 需要 扫 摘 的 应 用 程序 ， 如 图 9-65 所 示 。 


步骤 04: 蛙 击 “分 析 ” 按 钮 ， 即 可 分 析出 所 选 的 应 用 程序 中 存在 的 各 种 历史 文件 ， 如 图 9-66 所 示 。 单 击 “ 运 行 清洁 器 ”按钮 ， 
在 “将 会 永久 删除 系统 上 的 这 些 文件 ” 提 示 框 中 单 击 “确定 ” 按 钮 ， 即 可 删除 扫 摘 出 来 的 临时 文件 ， 如 图 9-67 所 示 。 


步骤 05: 在 Piriform CCleaner 主 窗口 中 单 击 “ 注 册 表 ”按钮 ， 即 可 打开 注册 表 完 整 性 对 话 框 ， 如 图 9-68 所 示 。 


步骤 06: 曲 击 “ 扫 摘 问 题 ”按钮 ， 即 可 扫 摘 注册 表 ， 将 仔 人 在 问题 类 型 、 数 据 、 注 册 表 键 值 等 属性 都 显示 出 来 ， 如 图 9-69 所 示 。 街 


扫描 完毕 后 ， 选 中 需要 修复 的 问题 ， 并 单 击 “ 修 复 所 选 的 问题 ”按钮 ， 即 可 打开 “您 想 要 备份 注册 表 的 更 改 ” 对 话 框 ， 如 图 9-70 所 
不 。 
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图 9-65 “应 用 程序 选项 卡 
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图 9-67 清除 应 用 程序 中 的 临时 文件 
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9-0 ”显示 注册 表 中 存在 的 问题 


步骤 07: 单 击 “ 是 ”按钮 ， 即 可 打开 “另存 为 ”对 话 框 ， 如 图 9-71 所 示 。 在 设置 保存 名 称 和 位 置 后 ， 单 击 “ 保 存 ” 按 钮 ， 即 可 打 


开 “ 缺 失 的 共享 DLL” 对 话 框 ， 如 图 9-72 所 示 。 这 是 扫 摘 出 来 第 一 个 注册 表 错 误 的 详细 信息 ， 在 其 中 可 看 到 具体 的 解决 办 法 。 


图 9-70 “是 否 备 份 注册 表 的 更 改 ” 对 话 框 
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图 9-71 “另存 为 ”对 话 框 


步骤 08: 蛙 击 “修复 所 有 选 定 的 问题 ”按钮 ， 即 可 修复 所 有 选 定 问题 。 待 修复 结束 后 ， 即 可 看 到 “已 修复 问题 ”提示 信息 ， 如 图 
9-73 所 泵 。 
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图 9-72 “缺失 的 共享 DLL” 对 话 框 


步骤 09: 单 击 “ 关 闭 ″ 按钮 ， 即 可 完成 修复 注册 操作 。 在 Piriform CCleaner 主 窗口 中 单 击 “工具 ”按钮 ， 即 可 打开 “TE” 
口 ， 如 图 9-74 所 示 。 


利用 这 些 工具 可 进行 鼻 载 、 系 统 还 原 、 设 置 哪些 程序 随 系 统 运行 而 目 动 运行 等 操作 。CCleaner 可 从 计算 机 系统 中 搜索 并 清除 无 
用 的 文件 和 志 圾 文件 ， 让 Windows 运 行 更 快 、 更 有 效率 、 释 放出 更 多 硬盘 空间 。 该 软件 还 具有 体积 小 、 运 行 速 度 极 快 等 优点 。 
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第 10 草 ”网络 代理 与 退路 工具 


为 了 更 好 地 隐藏 自己 ， 黑 客 在 攻击 前 往往 会 先 找到 一 些 管理 员 水 平 不 高 的 网 络 主机 作为 代理 服务 器 ， 再 通过 这 些 主机 去 攻击 目标 
计算 机 。 正 是 有 了 这 些 代理 服务 器 ， 黑 客 的 行踪 才 不 容易 被 发 现 ， 这 样 黑客 就 可 以 肆 无 尽 刁 地 进行 攻击 了 。 

Жага; 

. 网 络 代理 工具 


常见 的 黑客 退路 工具 


10.1 网络 代理 工具 


代理 工具 可 以 破除 很 多 人 为 的 限制 ， 还 可 以 提高 上 网 速度 ， 访 问 一 些 原本 访问 不 了 或 访问 速度 极 慢 的 网 站 ， 也 可 以 隐藏 目 己 的 真 
实地 址 。 但 这 类 软件 到 了 黑客 的 手中 ， 会 给 其 攻击 提供 极 大 便利 。 


10.1.1 利用 “代理 猎手 ”寻找 代理 


代理 猎手 是 一 蒜 集 搜索 与 验证 于 一 身 的 软件 ， 可 以 快速 坦 找 网 络 上 的 免费 Proxy。 其 主要 特点 为 : 支持 多 网 址 段 、 多 端口 目 动 宣 
询 ， 支 持 目 动 验证 并 给 出 速度 评价 ; 支持 后 续 的 时 间 预 测 ; 支持 用 尸 设 置 最 大 连接 数 (可 以 做 到 不 影响 其 他 网 络 程 序 ) МІНДЕ 
找 最 新 版 本 。 其 最 大 的 特点 是 搜索 速度 快 ， 最 快 可 以 在 十 几 分 钟 搜 膨 整个 B 类 地 址 的 65536 个 地 址 。 


代理 猎手 可 以 通过 百度 、 和 雅虎、 新 浪 等 搜索 引擎 坦 找 代理 猎手 下 载 链 接 进行 下 载 。 

(1) 添加 搜索 任务 

在 代理 猎手 安 委 完 圣 后 ， 还 需要 添加 相应 的 搜索 任务 。 具 体 的 操作 步骤 如 下 。 

步骤 01: 在 “代理 猎手 ”窗口 中 选择 “搜索 任务 ”一 “添加 任务 ”菜单 项 ， 即 可 打开 “添加 搜索 任务 ”对 话 框 ， 如 图 10-1 所 示 。 


步骤 02: 在 “任务 类 型 ”下 拉 人 列表 框 中 有 “定时 开始 搜索 ”、 “搜索 完毕 天 机 ”和 “搜索 网 址 泡 围 ”3 个 下 拉 列 选项 (这 里 选 
取 “ 搜 索 网 址 学 围 ” 选 项 ) ， 单 击 “ 下 一 步 ” 按 钮 ， 即 可 打开 “地 址 学 围 ” 设 置 对 话 框 ， 如 图 10-2 所 示 。 


图 10-1 “添加 搜索 任务 ”对 话 框 


33b ER] —— — — —— —— —— —— 


тез апи | Е- Roue твен | 


图 10-2 “地 址 范围 ”设置 对 话 框 


步 又 03: 单 击 “添加 ”按钮 ， 即 可 弹出 “添加 搜索 1P 沁 围 ” 对 话 框 ， 在 其 中 根据 实际 情况 设置 |P 地 址 学 围 ， 如 图 10-3 所 示 。 单 
击 “ 确 定 ” 按 钮 ， 即 可 完成 1P 地 址 范围 的 添加 操作 ， 如 图 10-4 所 示 。 


步骤 04: 在 “地 址 沁 围 设置 ”对 话 框 中 东单 击 “ 选 取 已 定义 的 荡 围 ”按钮 ， 则 可 弹出 “预定 义 的 IP 地 址 范围 ”对 话 框 ,如 图 10-5 
所 示 。 单 击 “ 添 加 ”按钮 ， 即 可 打开 “添加 搜索 iP 范围 ”对 话 框 ,如 图 10-6 所 示 。 


地 址 范围 类 型 : |ж ПІЗ 
起 始 地 址 : | 


结束 地 址 : 


图 10-3 “添加 搜索 IP 范 围 ” 对 话 框 


НЕШЕ | 


ЖЕЗ | ІРУ | 查询 本 机 IF 地 址 | 


图 10-4 ”添加 IP 范 转 


预定 内 的 IP 地 址 范围 di 


图 10-5 “预定 义 的 IP 地 址 范围 ”对 话 框 
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图 10-6 “添加 搜索 IP 范 围 ” 对 话 框 


步骤 05: 在 其 中 根据 实际 情况 设置 |P 地 址 学 围 ， 并 输入 相应 的 地 址 学 围 训 明 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 完成 添加 操作 ， 如 图 10-7 


Вт. EAE "JRXEMBSIPIEHESE ХЕЛЕН “FF НӘН, Ше ГА RAGE” ХАЛЕ, 10-837. 


图 10-7 添加 结果 显示 


Наш: 
TEFA (T): [IP Range Files (*.ipr) 
ШАЛЫ ЗЫ. 


4108 “ 读 入 地 址 范围 ”对 话 框 


步 又 06: 在 其 中 选择 “代理 猎手 ”已 预 设 IP 地 址 汽 围 的 文件 ， 可 将 其 读 入 “预定 义 的 IP 地 址 汽 围 ”对 话 框 中 。 然 后 单 击 “ 使 


ЕН” ЖЕН, ВОРА BI РИВНЕ АЛТ ӘЗІРШЕ. 


步骤 07: 在 “地 址 范围 ”对 话 框 中 单 击 “ 下 一 步 ” 按 钮 ， 即 可 打开 “端口 和 协议 ”对 话 框 ， 如 图 10-9 所 示 。 单 击 “ 汪 加” 按钮， 
即 可 打开 “添加 端口 和 协议 ”对 话 框 ， 在 其 中 根据 实际 情况 输入 相应 的 端口 ， 如 图 10-10 所 示 。 


дейрзт | Заем | НЫ EREI 


图 10-9 “端口 和 协议 ”对 话 框 


-yl8080 


10-10 ” “添加 端口 和 协议 ”对 话 框 


步骤 08: 单 击 “确定 ”按钮 ， 即 可 完成 添加 操作 ， 如 图 10-11 所 示 。 单 击 “ 完 成 ”按钮 ， 即 可 完成 搜索 任务 的 设置 。 


图 10-11 ”完成 端口 和 协议 的 添加 


(2) 设置 参数 


在 设置 好 搜索 的 IP 地 址 范围 之 后 ， 束 可 以 开始 进行 搜索 了 ， 但 为 了 提高 搜索 效率 ， 还 有 必要 先 设置 一 下 “代理 猎手 ”的 各 项 参 
效 。 具 体 的 操作 步骤 如 下 。 


步骤 01: 人 在 “代理 猎手 ”窗口 中 选择 “系统 ”一 “参数 设置 ”菜单 项 ， 即 可 打开 “运行 参数 设置 ”对 语 框 ， 如 图 10-12 所 示 。 
在 “搜索 验证 设置 ”选项 卡 中 可 设置 “搜索 设置 ”、“ 验 证 设置 ”、“ 局 域 网 或 拨号 上 网 ”、 “搜索 万 法 ”、“ 其 他 设置 ”等 选项 
(这 里 勾 选 “局 用 先 Ping 后 连 的 机 制 ” 复 选 框 以 提高 搜索 效果 ) 。 
小 技巧 


代理 猎手 ”默认 的 搜索 、 验 证 和 Ping 的 并 发 数量 分 别 为 50、80 和 100， 如 果 用 户 的 带宽 无 法 达到 ， 最 好 相应 地 减少 各 个 并 发 数 


量 ， 以 减轻 网 络 的 负担 。 


步骤 02: 此 外 ， 用 户 还 可 在 “验证 数据 设置 ”选项 卡 中 添加 、 修 改 和 删除 “验证 资源 地 址 ”及 其 参数 ， 如 图 10-13 所 示 。 
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910-12 ”设置 搜索 参数 
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图 10-13 ”设置 验证 数据 


步 又 03: 在 “代理 调度 设置 ”选项 卡 中 还 可 设置 代理 调度 参数 ， 以 及 代理 调度 范围 等 选项 ， 如 图 10-14 所 示 。 在 “其 他 设置 " № 
项 卡 中 可 设置 拔 号、 搜索 验证 历史 、 运 行 参数 等 选项 ， 如 图 10-15 所 示 。 
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910-14 设置 代理 调度 参数 
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图 10-15 ”其 他 参数 设置 

步骤 04: 在 设置 好 “代理 猎手 ”的 各 项 参数 之 后 ， 选 择 “搜索 任务 ”一 “开始 搜索 ”菜单 项 ， 即 可 开始 搜索 设置 的 I|P 地 址 汇 围 。 

(3) 查看 搜索 绪 

在 搜索 完毕 之 后 ， 束 可 以 查看 搜索 的 结果 了 ， 有 具体 的 操作 步骤 如 下 。 

步骤 01: 选择 “搜索 结果 ”选项 卡 ， 其 中 “验证 状态 ”为 Free 的 代理 即 为 可 以 使 用 的 代理 服务 器 ， 如 图 10-16 所 示 。 一 般 情 况 
下 ， 验 证 状态 为 Free 的 代理 服务 器 很 少 ， 但 只 要 验证 状态 为 Good 残 可 以 使 用 。 

步骤 02: 在 找到 可 用 的 代理 服务 器 之 后 ， 将 其 iP 地 址 复制 到 “代理 调度 ”选项 卡 中 ，“ 代 理 猎 手 ” 束 可 以 目 动 为 服务 器 进行 调度 
了 ， 如 图 10-17 所 示 。 多 增加 几 个 代理 服务 器 可 以 有 利于 网 络 速 度 的 提高 。 
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图 10-16 ”查看 搜索 结 
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图 10-17 添加 代理 调度 


МІБ 


用 户 也 可 以 将 搜索 到 的 可 用 代理 服务 器 IP 地 址 和 端口 输入 到 网 页 浏览 器 的 代理 服务 器 设置 选项 中 ， 这 样 ， 用 户 就 可 以 通过 该 代理 
服务 器 上 网 了 。 


10.1.2 ”利用 SocksCap32 设 置 动态 代理 
SocksCap32 代 理 软 件 是 一 蒜 基 于 Socks 协 议 的 网 络 代 理 客户 端 软 件 ， 它 能 将 指定 软件 的 任何 Winsock 调 用 转换 成 Socks 协 议 的 请 
求 ， 并 发 送 给 指定 的 Socks 代 理 服 务 器 。 可 用 于 使 基于 HTTP、FTP、Telnet 等 协议 的 软件 ， 通 过 Socks 代 理 服务 器 连接 到 目的 地 。 


使 用 3ocksCap32 软 件 前 ， 需 要 先 有 一 个 3ocks 的 代理 服务 器 (不管 是 用 “代理 猎手 ” 找 出 来 的 ， 还 是 从 各 个 代理 网 站 中 得 到 
的 ， 束 是 要 有 一 个 ) 。 目 前 ，9SocksCap32 软 件 可 以 通过 搜索 引擎 找到 其 下 载 地 址 ， 并 将 其 下 载 到 本 地 磁盘 中 。 


(1) 建立 应 用 程度 标识 


当 第 一 次 运行 SocksCap32 程 序 时 ， 将 显示 如 图 10-18 所 示 的 对 话 框 。 在 单 击 “ 接 受 ” 按 钮 同意 许可 协议 内 容 之 后 ， 才 能 进入 
SocksCap32 的 主 窗口 ， 如 图 10-19 所 示 。 
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图 10-18 ”同意 许可 


ИЙ SocksCap = 


图 10-19  SocksCap3285 £ @ в 
建立 应 用 程序 标识 的 具体 操作 步骤 如 下 。 


2701: 在 SocksCap32 的 主 窗口 中 单 击 “ 新 建 ”按钮 ， 即 可 打开 “新 建 应 用 程序 标识 项 ”对 话 框 ， 在 “标识 项 名 称 ” 文 本 框 中 
输入 新 建 标识 项 的 名 称 ， 如 图 10-20 所 示 。 


图 10-20 “新 建 应 用 程序 标识 项 ”对 话 框 


步骤 02: 单 击 “浏览 ”按钮 ， 即 可 打开 “选择 需要 代理 的 应 用 程序 ”对 话 框 ， 在 其 中 选择 需要 代理 的 应 用 程序 ， 如 图 10-21 所 
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图 10-21 选择 应 用 程序 对 话 杠 


步骤 03: 意 击 “打开 ”按钮 ， 即 可 将 所 选项 应 用 程序 的 文件 名 称 和 路 径 信息 添加 到 “新 建 应 用 程序 标识 项 ”对 话 框 中 ， 再 单 
击 “ 确 定 ” 按 钮 ， 则 该 应 用 程序 〈 添 加 的 应 用 程序 可 以 是 E-mail 工 具 、FTP 工 具 、Telnet 工 具 ， 以 及 当今 最 热门 的 联网 游戏 等 ) 标识 
项 即 可 添加 完毕 ， 如 图 10-22 所 示 。 


dB SocksCap 控制 台 


10-22 ”添加 应 用 程序 
(2) 设置 选项 
设置 3ocksCap32 选 项 的 具体 操作 步骤 如 下 。 


步骤 01: 在 SocksCap32 的 主 窗口 中 选择 “文件 ”一 “设置 ”菜单 项 ， 即 可 打开 “SocksCap 设 置 ” 对 话 框 ， 如 图 10-23 所 示 。 
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10-23 “SocksCap 设 置 ” 对 话 框 


步骤 02: 在 其 中 可 设置 已 经 通过 验证 的 代理 服务 器 及 其 端口 号 (91220.47.7.27, 10151070) ， 并 可 选择 不 同 的 SOCKS 版 本 
(通常 选择 “SOCKS 版 本 5”) ， 并 选择 其 域名 的 解析 方式 。 如 果 用 户 查 找 的 代理 服务 器 需要 用 户 名 和 密码 ， 且 已 获得 该 用 户 名 和 密 
码 ， 则 可 义 选 “用 户 名 /密码 ” 复 选 框 。 若 勺 选 “用 户 名 /密码 ” 复 选 框 ， 则 在 单 击 “ 确 定 ” 按 钮 之 后 ， 需 要 在 如 图 10-24 所 示 的 对 话 
框 中 填 入 用 户 名 和 密码 。 


50СЕЅ5 PAX: Administrator 


socks: С: 
取消 | 


图 10-24 WAA P АЯ 


步骤 03: 在 “SocksCap 设 置 ” 对 话 框 中 选择 “直接 连接 ”选项 卡 ， 在 “直接 连接 的 地 址 ”选项 区 中 可 添加 直接 连接 的 IP 地 址 ， 
如 192.167.0.2， 知 是 一 个 |P 地 址 泄 围 则 可 输入 219.139.100.30; 也 可 输入 域名 ， 如 .mydomain.com， 如 图 10-25 所 示 。 


步骤 04: 在 “直接 连接 的 应 用 程序 和 库 ” 选 项 区 中 可 输入 需要 和 直接 连接 的 应 用 程序 ， 在 “SOCKS 版 本 5 直接 连接 的 UDP 端 口 ” 选 
项 区 中 可 设置 直接 连接 的 UDP 端口 号 ， 如 图 10-26 所 示 。 


步骤 05: 在 “日 志 ” 选 项 卡 中 可 进行 相应 的 设置 ， 如 图 10-27 所 示 。 单 击 “ 确 定 ” 按 钮 ， 即 可 结束 SocksCap32 的 选项 设置 。 


在 设置 好 代理 选项 并 添加 好 代理 应 用 程序 后 ， 在 应 用 程序 列表 中 选取 需 运 行 的 应 用 程序 ， 选 择 “ 文 件 ” 一 “通过 Socks 代 理 运 
行 ”菜单 项 ， 即 可 启动 该 应 用 程序 并 通过 代理 进行 登录 。 如 果 需 要 使 某 个 应 用 程序 通过 SocksCap32 代 理 ， 则 必须 通过 SocksCap32 
进行 启动 。 
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图 10-25 “直接 连接 的 地 址 ”选项 区 
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图 10-26 “直接 连接 的 应 用 程序 和 库 ”选项 区 
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10.1.3 ” 防 汪 远 程 跳板 代理 攻击 


喝 茶 的 人 都 知道 ， 越 是 好 欠 束 越 要 慢 慢 地 品 才 行 。 在 黑客 的 世界 中 也 是 如 此 ， 往 往 一 些 拉 术 本 身 ， 刚 接手 时 还 感 周 不 到 它 的 妙 
处 ， 越 是 使 用 得 久 了 ， 越 是 能 在 不 经 意 间 友 现 其 奥妙 无 穷 。 远 程 跳板 代理 攻击 模式 束 是 这 样 的 一 种 技术 。 


(1) 扫 摘 选 择 目 标 


这 里 使 用 的 工具 是 国内 享有 盛誉 的 “流光 ”软件 ， 主 要 理由 是 它 所 特有 的 一 种 扫 摘 模式 : 远程 扫描 模式 。 通 过 在 远程 “肉鸡 ”上 
的 安 丢 ， 融 可 以 轻易 实现 扫描 远 程 的 跳板 式 扫 摘 。 


具体 的 操作 步骤 如 下 。 


步骤 01: 下 载 并 安装 “Fluxay” 软 件 ， 双 击 桌 面 上 的 “Fluxay” 应 用 程序 图 标 ， 即 可 进入 “Fluxay” 主 窗口 ， 如 图 10-28 所 示 。 
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278802: АЕ "ЗМ" — “ЕНЕРОРЗ/ҒТР/МТ/5О1-ЕРД KAN, Војо: ENSE ХЕ, ЕЕН Л. 5884 
的 “开始 地 址 ”和 “结束 地 址 ”; 在 “ 扫 摘 主机 类 型 ”下 拉 询 表 中 选择 扫描 类 型 为 NT/98 选 项 ， 如 图 10-29 所 示 。 
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图 10-29 “主机 扫描 设置 ”对 话 框 


步骤 03: 将 开始 和 结束 的 IP 地 址 还 有 “扫描 的 主机 类 型 ”填写 完毕 后 ,日 击 “ 确 定 ” 按 钮 ， 则 “流光 ” 残 开始 扫描 目标 主机 了 。 
此 时 可 以 用 “ 断 开 ”命令 暂时 断 开 和 服务 器 的 连接 ， 让 “ 议 兴 ”软件 目 动 进行 扫 摘 。 扫 摘 完 毕 后 其 显示 结果 如 图 10-30 所 示 。 
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192.168. 1. 100 : PORT : МТ/98 
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图 10-30 ”查看 扫描 结果 


步骤 04: 在 “IPC$ 主 机 ”下 所 扫描 出 的 目标 主机 中 任 选 一 个 右 击 ， 从 快捷 菜单 中 选择 “探测 ”一 “探测 IPC$ 用 尸 列表 ”菜单 
项 ， 即 可 打开 “IPC 上 自动 探测 ”对 话 框 ， 则 可 使 用 专门 的 黑客 字典 对 密码 进行 探测 ， 如 图 10-31 所 示 。 
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图 10-31 IPC$ 主 机 列表 


步骤 05: 为 能 直接 获得 更 大 权限 ， 需 在 “1IPC 上 自动 探测 ”对 语 框 中 勾 选 “ 仪 探测 Administrator 组 的 用 户 ” 复 选项 ， 如 图 10-32 所 
示 。 单 击 “ 是 ”按钮 ， 探 测 完 成 后 可 在 目标 主机 下 可 看 到 探测 到 的 用 户 ， 如 图 10-33 所 示 。 
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图 10-32 “IPC 自 动 探测 ”对 话 框 
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图 10-33 ”探测 到 的 用 户 
(2) 代理 跳板 的 架设 
代理 架设 的 方法 很 简单 ， 具 体 的 操作 步骤 如 下 。 
步骤 01: 通过 3389 远 程 登录 目 己 的 “内 机”， 选 择 “ 开 始 ”， 在 搜索 文本 框 中 输入 cmd， 即 可 进入 “命令 提示 符 ” 窗 口 。 


步骤 02: 在 当前 命令 提示 符 下 输入 net useNN192.168.0.55""/user: “Administrator” 命 令 ， 即 可 建立 空 连接 。 稍 等 片刻 ， 惑 会 
75 ' 命令 执行 成 功 ” 信息 。 
`T == E 
10.2 ”常见 的 黑客 姐 味 工具 


随 着 网 络 应 用 技术 的 友 展 ， 目 前 黑客 党 党 利用 专 | 的 追 趴 工具 来 追 路 和 攻击 远程 计算 机 。 在 本 节 将 介绍 几 蒜 常见 的 黑客 追 趴 工 


10.2.1 ЗЕРЕН 


在 网 络 管理 中 常常 需要 查找 黑客 或 者 是 其 他 不 怀 好 意 的 网 民 行路 ， 如 何 才能 实现 精确 地 定位 某 个 IP 地 址 的 所 在 地 ? 实际 上 ， 使 用 
一 些 简单 的 命令 和 方法 就 可 以 完成 黑客 追 中 。 


要 实现 网 络 定位 ， 最 简单 的 方法 就 是 在 IP 地 址 查询 网 站 上 进行 查询 。 下 面 随便 选择 一 个 网 站 为 例 介绍 其 具体 的 操作 步骤 。 


步骤 01: 打开 一 个 IP 地 址 查询 网 站 ， 这 里 打开 http://www.ip.cn 网 站 ， 如 图 10-34 所 示 。 
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图 10-34 ”IP 地 址 查询 网 站 
Ш 02: 如 果 要 查找 已 知 的 iP 地址 ， 直 接 在 “请 输入 IP 地 址 ”文本 框 中 输入 要 查找 的 IP 地 址 ， 单 击 “ 查 询 ” 按 钮 ， 即 可 得 到 需要 


的 地 址 ， 如 图 10-35 所 示 。 
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图 10-35 ”查询 的 地 址 


10.2.2 NeroTrace Pro 追 踪 工 具 的 使 用 


NeoTrace Pro v3.25 (网 络 姐 路 器 ) 是 一 球 网 络 路 由 追 味 软件 ， 用 尸 只 需 输入 远程 计算 机 的 E-Mail、1P 位 置 或 超 链 接 URL 位 置 
等 ， 软 件 束 会 目 动 帮助 用 尸 显示 介 于 本 机 计算 机 与 远 喘 机 器 之 间 的 所 有 证 点 及 相关 的 登记 信息 。 


4 


安装 和 使 用 NeroTrace Pro 追 路 工具 的 具体 操作 步骤 如 下 。 


步骤 01: 下 载 并 安装 NeoTracePro， 双 击 桌面 上 的 NeoTracePro 图 标 较 ， 即 可 打开 NeoTrace 主 窗口 ， 如 图 10-36 所 示 。 
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图 10-36 NeoTrace i.4 в 
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步骤 02: 人 在 Target 驻 本 框 中 输入 想 要 追踪 的 网 址 (www.google.com) 后 ， 单 击 石 侧 的 Go 按钮 ， 即 可 开始 进入 仍 蹊 状态 。 待 扫 
描 元 毕 后 ， 则 在 NeoTrace 主 窗口 中 的 显示 该 网 站 的 节点 和 摘要 信息 ， 如 图 10-37 所 示 。 
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10-37 


步骤 03: fÉiESavejZtH, n]f]JjTSave Trace or Мар Ітадев ц, ЛУ; ЧАТ ЕН, РУАН 
文本 文档 的 形式 保存 ， 如 图 10-38 所 示 。 双 击 已 存储 的 文本 文档 ， 即 可 查看 追 
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踩 到 的 信息 以 


示 的 详细 列表 ， 如 图 10-39 所 示 。 
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图 10-38 ”保存 追踪 到 的 信息 
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910-39 ”查看 追踪 的 详细 列表 


步骤 04: 在 NeoTrace 主 窗口 左 侧 的 网 站 摘要 栏目 中 选择 Network 选 项 卡 ， 在 其 中 可 看 到 该 网 站 的 网 络 信息 ， 如 图 10-40 所 示 。 
在 Timing 选 项 卡 中 可 看 到 打开 该 网 站 的 各 种 啊 应 时 间 以 及 发 送 与 丢失 的 数据 包 等 信息 ， 如 图 10-41 所 示 。 
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步骤 05: 单 击 NeoTrace 主 窗口 中 的 Map View 下 拉 按 钮 ， 在 弹出 菜单 中 选择 Node View 选 项 ， 即 可 看 到 Google 网 站 对 应 的 各 个 
节点 ， 如 图 10-42 所 示 。 在 NeoTrace 主 窗口 中 单 击 Options 按 钮 ， 即 可 打开 Options 对 话 框 ， 在 其 中 可 对 工作 区 、 地 理 位 置 、 缓 冲 、 
地 图 、 列 表 和 节点 、Pinging、 速 度 指示 器 以 及 字体 等 属性 进行 设置 ， 如 图 10-43 所 示 。 
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第 11 章 “局域网 黑客 工 


目前 黑客 利用 各 种 专门 攻击 局 域 网 的 工具 对 局 域 网 进行 攻击 ， 鉴 于 此 ， 本 草 向 用 户 介 绍 局 域 网 最 常用 的 一 些 黑客 工具 ， 包 括 常 用 


的 局 域 网 但 看 工具 、 局 域 网 攻击 工具 等 ， 读 者 可 以 详细 了 解 这 些 工具 的 具体 使 用 万 法 ， 还 可 以 了 解 网 络 安全 的 相关 知识 。 


ДЕЕ НЧ: 
:局域网 安全 介绍 

` 局 域 网 监控 工具 

- 局 域 网 攻击 工具 曝光 


111 局 域 网 安全 介绍 


目前 赵 来 越 多 的 企业 建立 了 目 己 的 局 域 网 ， 以 实现 企业 信息 资源 共享 ， 或 者 在 局 域 网 上 运行 各 类 业务 系统 。 随 看 企业 局 域 网 应 用 
汽 围 的 扩大 ， 保 存 和 传输 的 关键 数据 增多 ， 局 域 网 的 安全 性 问题 显得 日 葵 突 出 。 


11.1.1 局域网 基础 各 识 


局 域 网 (Local Area Network, LAN) 是 指 在 某 一 区 域内 由 多 台 计 算 机 互 连 成 的 计算 机 组 ， 一 般 是 方圆 几 干 米 。 局 域 网 把 个 人 
计算 机 、 工 作 站 和 服务 器 连 在 一 起 ， 在 其 中 可 以 进行 管理 文件 、 共 享 应 用 软件 、 共 享 打 印 机 、 安 排 工作 组 内 的 工作 计划 、 发 送 电 子 邮 
件 和 传真 通信 服务 等 操作 。 局 域 网 是 封闭 型 的 ， 可 以 由 办 公 室 内 的 两 台 计 算 机 组 成 ， 也 可 以 由 一 个 公司 内 的 数 百 台 计 算 机 组 成 。 由 于 
距离 较 近 ， 传 输 速 率 较 快 (10Mbps~1000Mbps) 。 局 域 网 剃 见 的 分 类 万 法 有 以 下 几 种 。 


1) 按 采 用 技术 可 分 为 不 同 种 类 ， 如 Ether Net (以 太 网 ) 、FDDI、Token Ring ( 令 牌 环 ) =, 

2) 按 联网 的 主机 间 的 关系 又 可 分 为 两 类 ， 对 等 网 和 C/S (客户 /服务 器 ) 网 。 

3) 按 使 用 的 操作 系统 不 同 又 可 分 为 许多 种 ， 如 Windows 网 和 Novell 网 。 

Д) 按 使 用 的 传输 介质 又 可 分 为 细 缆 ( 同 轴 ) 网 、 双 绞 线 网 和 光纤 网 等 。 

局 域 网 最 主要 的 特点 是 : 网 络 为 一 个 单位 所 拥有 ， 且 地 理 范 围 和 站 点 数目 均 有 限 。 局 域 网 的 主要 优点 如 下 。 
1) 网 内 主机 主要 为 个 人 计算 机 ， 是 专门 适 于 微机 的 网 络 系统 。 

2) 覆盖 范围 较 小 ， 一 般 在 几 干 米 之 内 ， 适 于 单位 内 部 联网 。 

3) 传输 速率 高 ， 误 码 率 低 ， 可 采用 较 低廉 的 传输 介质 。 

4) 系统 扩展 和 使 用 方便 ， 可 共享 昂贵 的 外 部 设备 和 软件 、 数 据 。 

5) 可 靠 性 较 高 ， 适 于 数据 处 理 和 办 公 自动 化 。 


局 域 网 连 网 非 党 灵活， 两 台 计 算 机 束 可 以 连 成 一 个 局 域 网 。 局 域 网 的 安全 是 内 部 网 络 安全 的 关键 ,如何 保 证 局 域 网 的 安全 性 成 为 
网 络 安全 研究 的 一 个 重点 。 


1112 局 域 网 安全 隐患 


网 络 可 使 用 户 以 最 快 的 速度 获取 信息 ， 但 是 非 公开 性 信息 的 被 盗用 和 人 破坏， 是 目前 局 域 网 面临 的 主要 问题 ，。 
(1) 局 域 网 病毒 
在 局 域 网 中 ， 网 络 病毒 除了 具有 可 传播 性 、 可 执行 性 、 破 坏 性 、 隐 蔽 性 等 共同 特点 外 ， 还 具有 如 下 几 个 新 特点 。 


1) 传染 速度 快 : 在 局 域 刚 中 ， 由 于 通过 服务 器 连接 每 一 全 计算 机 ， 这 不 仅 给 病毒 传播 提供 了 有 效 的 通道 ， 而 且 病 毒 传播 速度 很 
快 。 在 正 弟 情况 下 ， 只 要 网 络 中 有 一 台 计 算 机 存在 病毒 ， 在 很 短 的 时 间 内 ， 将 会 导致 局 域 网 内 计算 机 相互 感染 繁殖 。 


2) 对 网 络 破坏 程度 大 : 如 果 局 域 网 感染 病毒 ， 将 直接 影响 到 整个 网 络 系统 的 工作 ， 轻 则 降低 运行 速度 ， 重 则 破坏 服务 器 重要 数 


据 信 息 ， 甚 至 导致 整个 网 络 系统 衣 演 。 


3) 病毒 不 易 清除 。 清 除 局 域 网 中 的 计算 机 病毒 ， 要 比 清除 单机 病毒 复杂 得 多 。 局 域 网 中 只 要 有 一 台 计 算 机 未 能 完全 消除 消毒 ， 
束 可 能 使 整个 网 络 重 新 被 病毒 感染 ， 即 使 刚刚 完成 清除 工作 的 计算 机 ， 也 很 有 可 能 立即 被 局 域 网 中 的 另 一 台 市 病毒 计算 机 所 感染 。 


(2) ARP 攻 击 


ARP 攻 击 主要 存在 于 局 域 网 网 络 中 ， 对 网 络 安 全 危 甫 极 大 。ARP 攻 击 就 是 通过 伪造 的 iP 地址 和 和 MAC 地址 ， 实 现 ARP 欺 骗 ， 可 在 网 
络 中 严 生 大 量 的 ARP 通 信 数 据 ， 使 网 络 系统 传输 友 生 阻塞 。 如 果 攻 击 者 持续 不 断 地 发 送 伪造 的 ARP 响 应 包 ， 束 能 更 改 目 标 主 机 ARP 绥 
存 中 的 IP-MAC 地 址 ， 造 成 网 络 遭 受 攻击 或 中 断 。 


(3) Ping 洪 水 攻击 


Windows 提 供 了 一 个 Ping 程 序 ， 使 用 它 可 以 测试 网 络 是 否 连 接 。Ping 洪 水 攻击 也 称 为 |!CMP 入 侵 ， 它 是 利用 Windows 系 统 的 漏 
洞 来 入 侵 的 。 在 工作 中 的 命令 行 状态 运行 如 下 命令 : ping-165500-t 192.168.0.1，192.168.0.1 是 局 域 网 服务 器 的 IP 地 址 ， 这 样 束 会 
不 断 地 向 服务 发 送 大 量 的 数据 请 求 ， 如 果 局 域 网 内 的 计算 机 很 多 ， 且 同时 都 运行 了 这 个 命令 ,服务 器 将 会 因 CPU 使 用 率 居 高 不 下 而 月 
溃 。 这 种 攻击 方式 也 称 Do9 攻 击 (拒绝 服务 攻击 ) ， 即 在 一 个 时 段 内 连续 向 服务 器 友 出 大 量 请 求 ， 使 得 服务 器 来 不 及 回应 而 死机 。 


(4) 嗅 探 


局 域 网 是 黑客 进行 监听 嗣 探 的 主要 场所 。 黑 客人 在 局 域 网 内 的 一 个 主机 、 网 关上 安 委 监听 程序 ， 束 可 以 监听 到 整个 局 域 网 的 网 络 状 
态 、 数 据 沅 动 、 传 输 数 据 等 信息 。 因 为 一 般 情 况 下 ， 用 户 的 所 有 信息 ， 例 如 账号 和 密码 ， 都 是 以 明文 的 形式 在 网 络 上 传输 的 。 目 前 ， 
可 以 在 局 域 网 中 进行 嗅 探 的 工具 很 多 ， 如 Sniffer 等 。 


112 局域网 监控 工具 


可 以 利用 专门 的 局 域 网 查看 工具 来 但 看 局 域 网 中 各 个 主机 的 信息 。 本 节 将 介绍 两 款 非常 万 便 实用 的 局 域 网 查看 工具 。 


11.2.1 LanSeeT E 


针对 机 房 中 的 用 户 经 常 误 设 工作 组 、 随 意 更 改 计算 机 名 、1P 地 址 和 共享 文件 夹 等 情况 ， 可 以 使 用 “局 域 网 查看 工具 ”LanSee 非 
党 方便 地 完成 监控 ， 既 可 以 迅速 排除 故障 ， 又 可 以 及 时 友 现 一 些 潜在 的 安全 隐患。 


АБ 
Не 


(1) 搜索 计算 机 


LanSee 是 一 款 主要 用 于 对 局 域 网 (Internet 上 也 适用 ) 上 各 种 信息 进行 查看 的 工具 ， 采 用 多 线程 技术 ， 将 局 域 网 上 比较 实用 的 功 


完美 地 融合 在 了 一 起 ， 功 能 十 分 强大 。 


使 用 Lansee 工 具 搜索 计算 机 的 具体 操作 步骤 如 下 。 


步骤 01: 双击 下 载 的 应 用 程序 ， 即 可 打开 “局 域 网 查看 工具 ” 主 窗口 ， 如 图 11-1 所 示 。 
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图 11-1 “局 域 网 查看 工具 ” 主 窗口 


步骤 02: 单 击 “设置 ”按钮 ， 选 择 “ 工 具 选 项 ”一 栏 ， 如 图 11-2 所 示 。 即 可 在 “选项 ”对 话 框 中 选择 相应 的 网 段 形式 ， 并 进行 相 


应 的 设置 。 在 “搜索 计算 机 ”选项 卡 中 选择 在 局 域 网 内 搜索 计算 机 的 范围 ， 如 图 11-3 所 示 。 
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图 11-2 “设置 ”对 话 框 
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图 11-3 “搜索 计算 机 ”选项 卡 


步骤 03: 在 “搜索 共享 文件 ”选项 卡 中 没有 要 使 用 的 文件 类 型 ， 则 可 在 “添加 ”按钮 左 侧 的 文本 框 中 输入 需要 的 文件 格式 ， 如 图 
11-4 所 示 。 单 击 “ 添 加 ”按钮 ， 即 可 添加 成 功 。 


步骤 04: 在 选择 所 需 格 式 之 后 ， 单 击 “ 保 他 ”按钮 ， 即 可 完成 对 搜索 文件 的 设置 。 在 “ 扫 摘 痛 口 ”选项 卡 中 添加 所 要 扫 摘 的 站 
口 ， 添 加 完成 后 单 击 “ 保 存 ” 按 钮 ， 如 图 11-5 所 示 。 


步 又 05: 在 “局 域 网 查看 工具 ” 主 窗口 中 单 击 “开始 ”按钮 ， 即 可 开始 搜索 计算 机 ， 如 图 11-6 所 示 。 


步骤 06: 如 果 要 打开 搜索 的 计算 机 并 与 其 进行 连接 ， 在 该 IP 地 址 上 右 击 ， 选 择 “ 打 开 计 算 机 ”， 如 图 11-7 所 示 。 在 “Windows 
安全 ”对 话 框 中 输入 相应 内 容 ， 即 可 与 此 计算 机 建立 连接 ， 如 图 11-8 所 示 。 


(2) 搜索 共享 资源 


共享 资源 往往 是 局 域 网 数据 泄密 的 “罪魁 锅 首 ”， 网 管 要 经 单 检查 局 惹 网 中 是 否 仓 在 一 些 不 必要 开放 的 共享 资源 ， 企 查看 到 不 安 
全 因素 后 ， 要 及 时 通知 开放 共享 的 用 户 将 其 天 闭 。 
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图 11-6 ”搜索 计算 机 
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图 11-7 选择 “打开 计算 机 
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图 11-8 “Windows 安 全 ”对 话 框 


在 LanSee 主 窗口 中 单 击 “ 开 始 ” 按 钮 ， 搜 索 出 IP 地 址 后 ， 崇 接着 会 搜索 共享 资源 ， 在 “共享 资源 列表 ” 框 中 可 看 到 每 台 计 算 机 
开放 的 共享 资源 ， 如 图 11-9 所 示 。 
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图 11-9 ”共享 资源 


11.2.2 ”长 角 牛 网 络 监控 机 


“长 角 牛 网 络 监控 机 ” (网 络 执法 官 ) 只 需 人 在 一 人 台 机 器 上 运行 ， 可 穿 透 防 火 墙 ， 实 时 监控 、 记 录 整 个 局 域 网 用 户 上 线 情况 ， 可 限 
制 各 用 户 上 线 时 所 用 的 IP、 时 段 ， 并 可 将 非法 用 己 踢 下 局 域 网 。 本 软件 适用 汽 围 为 局 域 网 内 部 ， 不 能 对 网 关 或 路 由 器 外 的 机 器 进行 监 
WREE, јава НЕИН АН, 


(1) "КАА," Bye 


"АЗАА АЛ," Яне ие На Ла Е ВАлЕНИ КА, ЗЕН е АЛ, НАААНБАНР те ЕШ, uns 
非法 用 户 与 网 络 中 某 毕 主机 或 整个 网 络 隅 离 ， 而 且 无 论 局 域 网 中 的 主机 运行 何 种 防火 墙 ， 都 不 能 逃避 监控 ， 也 不 会 引 友 防火 墙 警 告 ， 
提高 了 网 络 安全 性 。 


在 使 用 “长 角 牛 网 络 监控 机 ”进行 网 络 监控 前 应 对 其 进行 安 疼 。 有 具体 的 操作 步骤 如 下 。 


步骤 01: 下 载 并 解压 “长 角 牛 网 络 监 控 机 ”软件 ， 双 击 “ 长 角 牛 网 络 监 控 机 ” 安 沪 程序 图 标 ， 即 可 弹出 “选择 安 闪 语言 ”对 话 
框 ， 在 其 中 选择 需要 使 用 的 语言 ， 如 图 11-10 所 示 。 


选择 安装 时 要 使 用 的 语言 


Е. 


图 11-10 “选择 安装 语言 ”对 话 框 
步骤 02: 在 选择 好 安装 时 要 使 用 的 语言 后 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 打开 “欢迎 使 用 Netrobocop v3.48 安 装 向 导 ” 对 话 框 ， 如 


图 11-11 所 示 。 
步骤 03: 单 击 “ 下 一 步 ”按钮 ， 即 可 打开 “选择 目标 位 置 ”对 话 框 ， 在 其 中 选择 程序 安装 位 置 ， 如 图 11-12 所 示 。 选 择 
Netrobocop v3.48 安 冯 目 标 位 置 ， 单 击 “ 下 一 步 ” 按 钮 ， 即 可 打开 “选择 开始 菜单 文件 夹 ”对 语 框 ， 在 其 中 选择 放置 程序 快捷 方式 


的 位 置 ， 如 图 11-13 所 示 。 
| Е === - Netrobocop v3.18 
欢迎 使 用 Netrobocop v3.48 安装 向 导 


现任 将 安帝 Netrobocop 到 您 和 电脑 中 。 


推荐 您 在 继 绿 安装 前 关闭 甩 有 其 它 应 用 程序 。 
单 击 “ 下 一 步 ” 上 继续 ， 或 单 击 “ 取 消 ”退出 专 装 程序 。 


图 11-11 欢迎 使 用 安装 向 导 对 话 框 


15 安装 - Netrobocop v3.48 


| 选择 目标 位 轩 

| ЖАБ} Netrobocop v3.48 БАҒЫТЫН АШЫ? 
À ТРЕВАТА Netrobocop v3.48 ТУЕ о 
单 击 “ 下 一 步 ” 维 综 。 如 果 您 想 选 搓 其 乌 XW 件 夹 ， Ц “ИП” 


i 


D:\Program FileziHetrobocop 


至 少 需要 有 т.з MB 的 可 用 磁盘 空间 。 


< Е—% | 


图 11-12 “选择 目标 位 置 ” 对 话 框 


步骤 04: 单 击 “ 下 一 步 ”按钮 ， 即 可 打开 “选择 附加 任务 ”对 话 框 ， 选 择 安 浅 “Netrobocop v3.48” 时 要 执行 的 附加 任务 ， 如 
图 11-14 所 示 。 


i9 -Netrobocop v348 | 


ҖЕТЕ НЕП КЕР МОРЕ S 
您 起 在 哪里 放置 程序 的 快捷 方式 ? 


k SE РАЕН ТЭНИН SC НЕН БЕН EROR E с 
ж “pe” ix ИВАННЫҢ Ы” е 


图 11-13 “选择 开始 菜单 文件 夹 ” 对 话 框 


|8) 安装 - Netrobocop v3.48 


XE FEBR UTE SS 
ESE ru РИТЕР ? 


GE SE нанына Hetrobocop v3.48 时 执行 的 附加 尾 务 ， 执 后 单 击 
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11-54 “选择 附加 任务 ”对 话 框 
步骤 05: 继续 单 击 “下 一 步 ”按钮 ， 即 可 进入 “准备 安 沪 ”对话 框 ， 将 开始 准备 安 六 程序 ， 如 图 11-15 所 示 。 单 击 “ 安 装 ” 按 
钮 ， 开 始 安 六 并 显示 安 六 进度 。 
步骤 06: 单 击 “ 下 一 步 ”按钮 ， 即 可 弹出 “Netrobocop Vv3.48 安 妾 辐 导 完成 ”对 话 框 。 单 击 “ 完 成 ”按钮 ， 即 可 成 功 完 成 安 


装 ， 如 图 11-16 所 示 。 


步 又 07: 在 安 委 完成 后 ，“ 长 角 牛 网 络 监 控 机 ”会 在 昌 面 目 动 生成 快捷 方式 。 双 击 Netrobocop 快 捷 方 式 图 标 ， 即 可 弹出 “设置 
扫描 范围 ”对 话 框 ， 在 其 中 指定 监测 的 硬件 对 象 和 网 段 汽 围 ， 如 图 11-17 所 示 。 


步骤 08: 在 设置 好 要 扫描 的 学 围 之 后 ， 单 击 “ 添 加 /修改 ”按钮 ， 再 单 击 “确定 ”按钮 ， 即 可 进入 “长 角 牛 网 络 监控 机 ”操作 窗 
口 ， 其 中 显示 了 在 同一 个 局 域 网 下 的 所 有 用 性， 可 查看 其 状态 、 流 量 、IP 地 址 、 是 否 锁定 、 最 后 上 线 时 | 间 、 下 线 时 间 、 网 卡 注 释 等 信 
息 ， 如 图 11-18 所 示 。 


15 安装 - Netrobocop v3.48 


准备 安装 | 
3242 ЕНЕ ЕЗШЕ Netrobocop v3.48 到 您 的 电脑 中 。 


单 击 “安装” ЗЗА ЈАН АЕ Е о 如果 您 想 要 回顾 或 改 受 误 目 ， 请 单 击 “ 上 一 
EIE PEU trobocop x 
ем: 


Netrobocop 
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图 11-15 “准备 安装 ”对 话 框 
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Netrobocop v3.48 ЗЕ то Б; 
ТОС ее 
si "xo 退出 安装 程序 。 
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图 11-16 — "Netrobocop v3.48 安 装 向 导 完 成 ”对 话 框 
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图 11-17 “设置 扫描 范围 ”对 话 框 
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811-18 “长 角 牛 网 络 监 控 机 ”操作 窗口 


网 卡 MAC 地 址 是 网 卡 的 物理 地 址 ， 也 称 硬件 地 址 或 链 路 地 址 ， 是 网 卡 目 身 的 唯一 标识 ， 一 般 不 能 随意 改变 。 无 论 把 这 个 网 卡 接 
入 网 络 的 什么 地 万 ，MAC 地 址 都 不 变 。 它 是 长 度 为 48 位 的 二 进 制 数 ， 由 12 个 00~OFFH 的 十 六 进 制 数组 成 ， 每 个 十 六 进 制 数 之 间 
用 “-” 隅 开 ， 如 00-0C-76-9F-BC-02。 


(2) 查看 目标 计算 机 属性 
使 用 “长 角 牛 网 络 监控 机 ”可 搜集 处 于 同一 局 域 网 内 所 有 主机 的 相 天 了 网络 信 息 。 
具体 的 操作 步骤 如 下 。 


步骤 01: 人 在“ 长 角 牛 网 络 监控 机 ”操作 窗口 中 双击 用 户 询 表 中 需要 至 看 对 象 ， 即 可 打开 “用 户 属 性 ”对 语 框 ， 企 其 中 可 耕 看 用 户 
的 网 卡 地 址 、IP 地 址 、 上 线 情 况 等 ， 如 图 11-19 所 示 。 


Z&.GIGA-BITE TECHNOULDGY CO., LTD. 


图 11-19 ДРА" ХЕ 


步骤 02: 单 击 “历史 记录 ”按钮 即 可 打开 “在 线 记 录 ” 对 话 框 ， 在 其 中 可 查看 该 计算 机 上 线 的 情况 ， 如 图 11-20 所 示 。 
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图 11-20 “在 线 记 录 ” 对 话 框 


(3) 批量 保存 目标 主机 信息 


除 收 集 局 域 网 内 各 个 计算 机 的 信息 之 外 ，“ 长 角 牛 网 络 监控 机 ”还 可 以 对 局 域 网 中 的 主机 信息 进行 批量 保 仔 。 具 体 的 操作 步骤 如 


步骤 01: 在 “长 角 牛 网 络 监 控 机 ”操作 窗口 中 选择 “记录 查询 ”选项 卡 ， 在 “IP 地 址 段 ” 中 输入 “起 始 IP” 地 址 和 “结束 IP” 地 
址 ， 单 击 “ 查 找 ”按钮 ， 即 可 开始 收集 局 域 网 中 计算 机 的 信息 ， 如 图 11-21 所 示 。 


步骤 02: 单 击 “ 导 出 ”按钮 ， 可 将 所 有 信息 导出 为 文本 文件 ， 如 图 11-22 所 示 。 
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图 11-21 “记录 查询 ”页 面 
(4) 设置 天 键 主机 


关键 主机 是 由 管理 员 指 定 的 IP 地 址 ， 可 以 是 网 关 、 其 他 计算 机 或 服务 器 等 。 管 理 员 将 指定 的 IP 存 入 关键 主机 之 后 ， 即 可 令 非 法 用 
尸 仅 断 开 与 关键 主机 的 连接 ， 而 不 断 开 与 其 他 计算 机 的 连接 。 


设置 关键 主机 组 的 具体 操作 方法 如 下 。 


步骤 01: 选择 “设置 ”一 “天 键 主机 组 ”菜单 项 ， 或 在 “锁定 /解锁 ”对 话 框 中 单 击 “ 设 置 ” 按 钮 ， 均 可 打开 “天 键 主机 组 设 
”对 话 框 ， 如 图 11-23 所 示 。 


w 


步骤 02: 在 “选择 关键 主机 组 ”下 拉 列 表 框 中 选择 关键 主机 组 的 名 称 。 


步骤 03: 在 设 定 “ 组 内 IP” 之 后 , 蛙 击 “全 部 保存 ”按钮 ， 将 关键 主机 的 修改 即时 生效 并 进行 保存 。 
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图 11-22 “导出 为 文本 文件 


图 11-23 “关键 主机 组 设置 ”对 话 框 


(5) 设置 默认 权限 


“长 角 牛 网 络 监 控 机 ”还 可 以 对 局 域 网 中 的 计算 机 进行 网 络 管理 。 它 并 不 要 求 安 半 在 服务 器 中 ， 只 要 安装 在 局 域 网 内 的 任 一 从 计 
算 机 上 ， 即 可 对 整个 局 域 网 内 的 计算 机 进行 管理 。 


设置 用 户 权 限 的 具体 操作 如 下 。 


步骤 01: 选择 “用 户 ” 一 “权限 设置 ”菜单 项 并 选择 一 个 网 卡 权限 ， 单 击 即 可 打开 “用 户 权 限 设置 ”对 语 框 ， 人 在 其 中 对 该 用 户 权 
限 类 型 进行 相应 设置 ， 如 图 11-24 所 示 。 
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图 11-24 “用 户 权 限 设 置 ” 对 话 框 


步骤 02: 选择 “ 受 限 用 户 ， 若 违反 以 下 权限 将 被 管理 ” 单 选项 之 后 ， 如 果 需 要 对 IP 进 行 限制 ， 则 可 勾 选 “启用 IP 限 制 ” 复 选 框 ， 
并 单 击 “禁用 以 下 IP 段 : 未 设 定 ” 按 钮 ， 即 可 在 弹出 的 “IP 限 制 ” 对 话 框 中 对 IP 进 行 设置 ， 如 图 11-25 所 示 。 


图 11-25 “РЕ” УЕ 


步骤 03: 358 "ШР, ХАН ЗВЕНО БА, БІНИЕ "Ет" Нн ЕЕ, НИЛ АА) 
域 网 时 ，“ 长 角 牛 网 络 监控 机 ” 即 按照 设 定 的 项 对 该 计算 机 进行 管理 ， 如 图 11-26 所 示 。 


(6) 禁止 目标 计算 机 访问 网 络 
禁止 目标 计算 机 访问 网 络 是 “长 角 牛 网 络 监控 机 ”的 重要 功能 ， 具 体 的 禁止 方法 如 下 。 


步骤 01: 人 在 “长 角 牛 网 络 监控 机 ”操作 窗口 中 石 击 用 户 询 表 中 的 任意 一 个 对 象 ， 在 弹出 的 快捷 菜单 中 选择 “锁定 /解锁 ”选项 ， 
即 可 弹出 “锁定 /解锁 ”对 话 框 ， 如 图 11-27 所 示 。 
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启用 组 x 主机: 用户 名 限制 
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EB 
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61126 设置 管理 方式 
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HERET | 
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— O | SH d - — er 
— , ыы + | WE | 取消 | 
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11-7 “锁定 /解锁 ”对 话 框 


步骤 02: 选中 锁定 方式 为 “禁止 与 所 有 主机 的 TCP/IP 连 接 ( 除 敏感 主机 外 ) ” 单 选项 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 实现 禁止 目标 
计算 机 访问 网 络 这 项 功能 


113 局域网 攻击 工具 曝光 


黑客 可 以 利用 专门 的 工具 来 攻击 整个 局 域 网 ， 例 如 使 局 域 网 中 两 合计 算 机 的 IP 地 址 友 生 冲突 ， 从 而 导致 其 中 的 一 侣 计算 机 无 法 上 
网 。 所 以 了 解 黑客 攻击 局 域 网 的 万 式 ， 提 前 做 好 预防 工作 很 有 必要 。 


11.3.1 “网 络 筋 刀 手 ”Netcut 切 断 网 络 连 接 曝 泡 


"КВУ" Netcut 工 具 可 以 切断 局 域 网 里 任何 主机 使 其 断 开 网 络 连 接 。 利 用 ARP 协 议 ， 同 时 也 可 以 看 到 局 域 网 内 所 有 主机 的 
IP 地 址 。 还 可 控制 本 网 段 内 任意 主机 对 外 网 的 访问 ， 随 意 开局 或 关闭 其 Internet 访 问 权 限 ， 而 访问 LAN 中 其 他 机 器 则 不 受 任何 影响 。 


该 工具 的 具体 使 用 步骤 如 下 。 


步骤 01: 下 载 并 安 半 “网 络 筋 切 手 ”Netcut 软 件 ， 双 击 其 快捷 图 标 ， 即 可 打开 Netcut 主 窗口 ， 会 目 动 搜 索 当 前 网 段 内 的 所 有 主 
机 的 IP 地 址 、 计 算 机 名 及 各 目 对 应 的 MAC 地 址 ， 如 图 11-28 所 示 。 


步骤 02: 蛙 击 “选择 网 卡 ” 按 钮 ， 即 可 打开 “选择 网 卡 ”对 话 框 ， 在 其 中 可 以 选择 搜索 计算 机 及 友 送 数据 包 所 使 用 的 网 卡 ， 如 图 
11-2987г. 
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911-28 Netcut 主 窗口 


| Adapters 
| 7 Altansic L2 Fast Ethemet Controller [Microsoft's 


< 
网 卡 信息 
"HE: Altansic LZ Fast Ethernet Controller [Micrasaft's Packet 
Scheduler) 

物理 地 址 : [O0 1E:8C:17:B0:85] 

РНЕ: [132 168.0 8] 

292: [192.168.0.1] 


11-29 “选择 网 卡 ” 对 话 杠 


步骤 03: 在 “网 络 剪 刀 手 ”中 还 可 以 开局 或 关闭 局 域 网 内 任意 主机 对 网 关 的 访问 。 在 扫 摘 出 的 主机 列表 中 选中 IP 地 址 为 
192.168.0.8 的 主机 后 ， 单 击 “ 切 断 ” 按 钮 ， 即 可 看 到 该 主机 的 “ 开 / 关 ”状态 已 经 变 为 “天 ”， 此 时 该 主机 不 能 访问 网 关 也 不 能 打开 
网 页 ， 如 图 11-30 所 示 。 


步骤 04: 再 次 选中 IP 地 址 为 192.168.0.8 的 主机 后 ， 单 击 “ 恢 复 ” 按 钮 ， 即 可 看 到 该 主 机 的 “ 开 / 关 ”状态 又 重新 变 为 “ 开 ′ ,此 
时 该 主机 可 以 访问 Internet 网 络 ， 如 图 11-31 所 示 。 
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11-0 关闭 某 台 主机 对 局 域 网 的 访问 
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811-31 开启 某 台 主机 对 局 域 网 的 访问 


步骤 05: 如 果 局 域 网 中 主机 过 多 ,使 用 该 工具 的 查找 功能 可 快速 但 看 某 个 主机 信息 。 在 Netcut 主 窗口 中 旱 击 “查找 ”按钮 ， 即 
可 打开 “查找 ”对 话 框 ， 如 图 11-32 所 示 。 


图 11-32 “查找 ”对话 框 


步骤 06: 在 文本 框 中 输入 要 查找 主机 的 某 个 信息 ， 这 里 输入 IP 地 址 ， 单 击 “ 查 找 ” 按 钮 ， 即 可 在 Netcut 主 窗口 中 快速 找到 iP 地 址 
为 192.168.0.8 的 主机 信息 ， 如 图 11-33 所 示 。 


ERES ИШ 一 -— —Hrru ium mL. . = 
FER CLER НЕСЕ Xx 


911-33 ”查找 到 的 主机 信息 


| ШЕТ 50 TUI 59] ТЕ ЖТ 0, 1 

| [DO 1E:S C: 17 B055] ае : ЕП ES 由 mg 
| 00: Б0;4С: DD: BE:2C] 192, ЗАЕЛА ВСИ 
ЕЙ поета СЕН) 192. 158 nj E 
| 15:58: B3:F7:B1] 192. 158.0.10 VW'w-a4D45515008 


= ІСІ! кі: BA:DH;FB] 192.165.0.9 MICRO SOF-COCSDD 

| BE опа зла АЯ А) 152 196.0.11 АЗАПТА ЫЫ. 
| [nu ТЕСЕТІН 1 192.166.0.7 

E [00:1 ІНІН; AFF] 182.15B.H. 15 ЦБЕВ-РС 

иа 001Е5С: 17:60:77] 192.16B. D.14 РЕМС 

E ШЕҢ iF: C6: CE;FD. 91] 192.104. Ù. iz ЦРАМО-РС 

! [prega c: ES:2D:48] 192.168.0.13 “АГА ТЕРУТ. ACETUIO 


图 11-34 “Еж” 7548 


步骤 07: ЖІН "WSF" НУ "ТЕЖ" 1088, БЕГЕ аы нта АЛАИ. Netcut HAUR AE "FER" dE 
钮 ， 即 可 打开 “地 址 表 ” 对 话 框 ， 在 其 中 看 到 所 在 局 域 网 中 所 有 主机 的 MAC 地 址 、IP 地 址 、 用 户 名 等 信息 ， 如 图 11-34 所 示 。 


步骤 08: 在 “网 络 剪 刀 手 ”工具 中 还 可 以 将 某 个 主机 的 IP 地 址 设置 成 网 关 IP 地 址 。 在 Netcut 主 窗口 中 选择 某 台 主机 后 ， 单 击 讲 并 
按钮 ， 将 其 将 该 IP 地 址 添加 到 “网 关 IP” 列 表 中 ， 如 图 11-35 所 示 。 
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WinArpAttackerzé — ЗАРЕ ЕНЯНТАКРЕА я СЕНТ, ВОЛОВ ЕЛАР 098, ШУК, CEA 
КУНК (监听 ) ГА, клн ЛЛ, 25872, Тит ай, HARARET. RARER T. 


步骤 01: 将 WinArpAttacker 压 缩 包 解压 后 ， 先 安装 WinPcap 再 双击 WinArpAttacker.exe 程 序 ， 即 可 进入 其 主 界面 ， 如 图 11-36 
所 示 。 


步骤 02: 单 击 工具 栏 上 的 Scan 按钮 ， 即 可 扫 摘出 局 域 网 中 的 所 有 主机 。 知 依次 选择 Scan 一 Advanced 选 项 ， 则 可 设置 扫 摘 泥 
围 ， 如 图 11-37 所 示 。 
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E [32.1582 26.1 -= 00.951. 56-00-00- КА: сыгы САМ Мас: 00-01-20-00-01- Си: 2 ОН 0 Сойер О 
图 11-36 ”WinArpAttacker 操 作 界 面 


步骤 03 : — тин теме 即 可 打开 Options 对 话 框 ， 如 图 11-38 所 示 。 如 果 本 地 主机 安装 有 多 块 网 卡 ， 
则 可 在 Adapter 选 项 卡 选择 绑 定 的 网 卡 和 |P 地 址 。 


— Sean range- 
C Scan a host 132 188.24 


(` Scan a range 


(* Scan local networks 


192 158. 26. 1 255. 255. 255. Ü 
192. 168. 160.1 295. £92. 299. Ü 
182 158. 1. 10 255. 255. 255. Ü 


М Normal scan [^ Antisniff scan 


图 11-37 设置 扫描 范围 


Options 


Adapter | Attack | Update | Detect | Analysis | Proxy Агр | Protect 


-Select a Hetwork levice- 


Adapter VMware Virtual Ethernet Adaptej 


Description 
ТЕ Address 192. 188. 28.1 
Cubnet Mask 1255 265 265 0 


Mac Address D0-50-56-C0-00-08 
y ІР [0.0.0.0 | 


Gateway Mac 00-00-00-00-00-00 
IHS 


911-38 Options ХЕХЕ 


， 如 图 11-39 所 示 。 除 Arp flood 是 次 数 外 ， 其 他 都 是 持续 时 间 ， 如 果 


步骤 04: 在 Attack 选 项 卡 中 可 设置 网 络 攻击 时 的 各 种 选项 
， 如 图 11-40 所 示 。 在 Detect 选 项 卡 中 可 设置 检测 的 频率 ， 如 图 11-41 


是 0 则 不 停止 。 在 Update 选 项 卡 中 可 设置 自动 扫描 的 时 间 间 隔 
所 示 。 

步骤 05: 在 Analysis 选 项 卡 中 可 指定 保存 ARP 数 据 包 文件 的 名 称 与 路 径 ， 如 图 11-42 所 示 。 在 Proxy Arp 选 项 卡 中 可 启用 代理 Arp 
功能 ， 如 图 11-43 所 示 。 在 Protect 选 项 卡 中 可 启用 本 地 和 远程 防 敬 骗 保护 功能 ， 避 免 自己 的 主机 受到 Arp 欺 骗 攻 击 ， 如 图 11-44 所 


7Jvo 


Options -x 


Adapter Attack | Update | Detect | Analysis | Proxy Агр | Protect | 


- Attack Time Setup 


Àrp flood times 11-10, 000, 000) | 一 | times 
Ban to gateway (1-200) 5 S minutes 
IP conflict (1-200) 5 H nimtes 
Аур zpoof the gateway (1-200) 0 4 аілобаз 
Аур spoof hosts 11-200) [0 А n 
Аср spoof Тап(1-200) 0 мета 
Àrp Spoof Interval (1-200) Б H minutes 
№ When attack stops, recover affected arp tables. 
—IP-Forwarder 
№ Асі az a gateway. Iv Disable system ICMP redirect. 


图 11-39 ”设置 攻击 选项 


Adapter | Àttack Update | Detect | Апа!у515 | Proxy Arp | Protect | 


-IFP List Update- 


№ Auto scan the lan for new computer or status. 


Áuto scanning interval (1-60) E  Bizntes 
№ Update ІР list from ТР-МАС pairs when sniffing. 


ІР-МАС pairs 

№ ТСР source № ТСР destination 
№ UDP zource |М UDP destination 
№ ICMP source [v ICMP destination 


м ARF (Reply) Ош C м КЕР (Reply) deztination 
№ ARF (Request) source № ARP (Request) destination 


图 11-40 设置 更 新 选项 


Options аха 


Adapter | Attack | Update Detect [Analysis | Proxy Arp | Protect 
—Detect Setup- 


№ Begin to detect as soon as this program starts. 


When the speed that a host sends arp request packets 
exceeds а certain one(l-20Ü0pps), this action is regarded 
ас arp scanning. 


10 = Packets/s 


Within what interval we can gather many same events as 
single event. 


4 seconds (1-1800) 


图 11-41 设置 检测 频率 


Options 
Adapter | Attack | Update | Detect Analysis |Proxy Arp | Protect | 


Analysis Setup 


№ Save all arp packets to file for analysis. 


arp packets. bin 


Hote: The dumped file 15 іп рсар format , you could open 
ій with Iris or other programs knowing pcap format. 


图 11-42 设置 文件 名 称 与 保存 路 径 


Adapter | Attack | Update | Detect | Analysis Proxy Arp | Protect 


—Froxy Акр 


№ Enable Proxy Arp function. 


When one host request the mac address of another inexsit 
or offline host, I will tell it a certain mac address. 


- Агр packet send mode ‚ Mac address- 


I should send arp reply (* This host 
packet when requested | 
host 15 (7 Gateway 


СО Апу hosts (^ Customize 
С Dut of host list 


(v TELS та і a Ld 
* Hot within this lan 00-11-22-33-44-55 


Caution: This function aims to realire accessing the 
Internet without any configure on your network, however, 
you also can cut down many hosts relation with others if 
you provide а incorrect mac address. 


11-43 ”启用 代理 Arp 功 能 


Options 一 二 


Adapter | Attack | Update | Detect | knalysis | Proxy Àrp Protect | 


-Protect Setup 

№ Enable local anti-zpoof protect One Timez/ |Б БЕС 
When а Боз! = physical address in local arp entry наз 
changed, maybe someone 15 spoofing you. WinÁrpAttacker 
will recover it with host list s address automatically. 
WinArpÁttacker will also tell gateway correct mac address 


of local host regularly (оле times every 1-60 second, 
О means don t do хо). 


If you enable it your host сап be immune from many 
arp-spoof attacks. 


| Enable remote anti-szpoof protect 


When WinArpAttacker detects arp-spoof attack (Attack Spoof 
.Attack Spoof Ban Áccezz),it will recover victims arp 
entry based on host list. 


lt you enable 1% you can protect some hosts from arp-spoof 
attack, but all arp attacks arized by you will be in vain 
because remote host s arp entry will be recovered by 
WinArpAttacker immedataly. 


H11-44 使 用 防护 功能 


步骤 06: 在 选取 需要 攻击 的 主机 之 后 ， 单 击 Attack 按 钮 右 侧 下 拉 按 钮 ， 在 其 中 选择 攻击 方式 ， 如 图 11-45 所 示 。 受 到 攻击 的 主机 
将 不 能 正常 与 Internet 网 络 进行 连接 ， 单 击 Stop 按 钮 ， 则 被 攻击 的 主机 可 恢复 正常 连接 状态 。 


lj Untitled - WinArpAttacker 3.72 Build 2007.04.14 
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Sni Lan 


911-45 ”选择 攻击 方式 


步骤 07: 如 果 使 用 了 嗅 探 攻 击 ， 则 可 单 击 Detect 按 钮 开始 嗅 探 。 蛙 击 Save 按 钮 ， 可 将 主机 列表 保存 下 来 ， 最 后 再 蛙 击 Open 按 
钮 ， 即 可 打开 主机 列表 。 


步骤 08: 如 果 用 户 对 ARP 包 的 结构 比较 熟悉 ， 了 解 ARP 攻 击 原理 ， 则 可 上 自己 动手 制作 攻击 包 ， 单 击 Send 按 钮 进行 攻击 。 
提示 


ArpSQ 是 该 机 器 发 送 的 ARP 请 求 包 的 个 数 ; ArpSP 是 该 机 器 发 送 的 回应 包 个 数 ; ArpRQ 是 该 机 器 接收 的 请 求 包 个 数 ; ArpRP 是 该 机 
器 的 接收 回应 包 个 数 。 


11.3.3 ”网 络 特工 监视 数据 曝光 
网 络 特工 ”可 以 监视 与 主机 相连 HUB 上 所 有 机 器 收 友 的 数据 包 ; 还 可 以 监视 所 有 局 域 网 内 的 机 器 上 网 情况 ， 可 以 对 非法 用 尸 进 
行 管理 ， 并 使 其 登录 指定 的 IP 网 址 。 
使 用 “网 络 特工 ”的 具体 操作 步骤 如 下 。 


步骤 01: 下 载 并 运行 其 中 的 “网 络 特工 .exe” 程 序 ， 即 可 打开 “网 络 特工 ” 主 窗口 ， 如 图 11-46 所 示 。 选 择 "TA" — ЧЕ 
Vj" 荣 单 项 ， 即 可 打开 “选项 ”对 话 框 ， 在 其 中 设置 相应 的 属性 ， 如 图 11-47 所 示 。 还 可 以 设置 “启动 ”、 “全 局 热 键 ” 等 属性 。 


| ә TR - НЕТ 
СЕНІП вем ТЫП 帮助 {HI 


НЕ: 

Пети] ив РР 12ЕЯЗЕВЯ... 
kiherez АЕЯ151 PLI-E... 
902B3#09T0D1 


ЕН Ства а 192. 180. 1. 10 


NET 255 255.255. n 
zN 192. 158. 1. ] 


[ева Вок Hsst-D 


411-46 


步骤 02: 在 “网 络 特工 ” 主 窗口 左 列表 中 单 击 “数据 监视 


击 “ 开 始 监视 ”按钮 ， 即 可 进行 监视 ， 如 图 11-48 所 示 。 
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“网 络 特工 ” 主 窗口 


选项 ， 即 可 打开 “数据 监 钢 ”窗口 。 人 在 其 中 设置 要 监视 内 容 ， 单 
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лизане: сыт + Shift + АНН. 
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图 11-47 “选项 ”对 话 框 


步骤 03: 在 “网 络 特工 ” 主 窗口 左边 的 列表 中 右 击 “网 络 管理 ”选项 ， 和 在 弹出 的 快捷 菜单 中 选择 “添加 新 网 段 ”选项 ， 即 可 打 
开 “ 添 加 新 网 段 ” 对 话 框 ， 如 图 11-49 所 示 。 


步骤 04: 在 设置 了 网 络 的 开始 iP 地 址 、 结 束 IP 地 址 、 子 网 掩 码 、 网 关 IP 地 址 之 后 ， 单 击 OK 按 钮 ， 即 可 在 “网 络 特工 ” 主 窗口 左 
边 的 “网 络 管理 ”选项 中 看 到 新 添加 的 网 段 ， 如 图 11-50 所 示 。 
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数据 监视 的 结果 


ГЕТА: ол БУЕ 


步骤 05: WEZE, ВЕУ AS SUIS а ХЕ НРА НА, 811-5137. PE "BESE 


即 可 打开 “管理 参数 


SL ERG r! 


IE 


对 话 框 ， 在 其 中 对 各 个 网 


络 参 数 进 


HAE 


行 设置 ， 如 图 11-52 所 示 。 
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Н, 


网 段 结束 IF 地 址 : 


Pod Fr ГЕНЕ: 


网 段 网 关 IF 地 址 : 


图 11-49 “添加 新 网 段 ” 对 话 框 


步 又 06: 单 击 “网 址 映射 列表 ”按钮 ， 即 可 打开 “网 址 映射 列表” 对话 框 ， 如 图 11-53 所 示 。 在 “DNS 服务 器 IP” 文 本 区 工 中 选 
中 要 解析 的 DNS 服务 器 后 ， 单 击 “ 开 始 解析 ”按钮 ， 即 可 对 选中 的 DNS 服务 器 进行 解析 ， 如 图 11-54 所 示 。 待 解析 完毕 后 ， 即 可 看 到 
该 域名 对 应 的 主机 地 址 等 属性 。 
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图 11-50 “新 添加 的 网 段 
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图 11-51 查看 刚 添加 的 网 段 的 信息 


步骤 07: 在 “网 络 特 ” 主 窗口 左边 的 列表 中 单 击 “互联 星空 ”选项 ， 即 可 打开 “互联 星空 ”窗口 ， 在 其 中 可 进行 扫描 端口 和 


DHCP 服 务 操作 ， 如 图 11-55 所 示 。 


步 又 08: 在 石 边 询 表 中 选择 “ 闯 口 扫 摘 ”选项 后 ， 单 击 “ 开 始 ” 按 钮 ， 即 可 打开 “ 问 口 扫 摘 参数 设置 ”对 语 框 ， 如 图 11-26 所 
示 。 人 在 设置 起 始 IP 和 结束 IP 之 后 ， 单 击 “ 常 用 端口 ”按钮 ， 即 可 将 常用 的 端口 显示 在 “端口 列表 ”文本 区 域内 ， 如 图 11-57 所 示 。 
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图 11-52 “网 段 参 数 设置 ”对 话 框 
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步骤 09: ВОК, ВТ ИЕ, CETJHRBSIJHJ, КН ЧЕ КІНІНУ "Нл" 


КЕТІРДІ ТЕРК 
tai isis ntc paras, 并 取得 一 


“互联 星空 


ТЕНЕТ ШЕ... 


窗口 


I 表 中 ， 在 其 中 即 可 看 到 各 


个 主机 开启 的 端口 ， 如 图 11-58 所 示 。 
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图 11-56 “端口 扫描 参数 设置 ”对 话 框 
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11-57 设置 常用 端口 


步骤 10: 在 “互联 星空 ”窗口 右边 的 列表 中 选择 “DHCP 服 务 扫 描 ” 选 项 ， 单 击 “ 开 始 ” 按 钮 ， 即 可 进行 DHCP 服 务 扫 描 操 作 ， 
如 图 11-59 所 示 。 
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911-59 ”进行 DHCP 服 务 扫描 操作 


第 12 章 ”远程 控制 工具 


远程 控制 是 在 网 络 上 由 一 台 计 算 机 远 距 离 控 制 男 一 台 计 算 机 的 技术 。 当 使 用 控制 尊 计 算 机 控制 被 控 喘 计算 机 时 ， 束 如 同 在 使 用 被 
控 疡 计算 机 一 样 ， 可 以 随 蕊 操作 该 远程 计算 机 。 远 程控 制 是 微软 公司 为 适应 网 络 时 代 而 提供 的 ,该 功能 可 以 从 最 大 限度 上 满足 网 络 管 
理 员 对 网 络 中 的 计算 机 进行 管理 的 需要 。 


在 黑客 攻击 过 程 中 ， 远 程控 制 也 是 非常 天 键 的 黑客 技术 。 本 章 主 要 介绍 几 蒜 经 典 的 远程 工具 ， 如 PcAnywhere、QuicklP、 
WinShell£&, 


ЖЕНЕ: 

: WindowsR А 5 1 

- 使 用 Winshell 定 制 远程 服务 器 

: Quicklp 多 点 控制 利器 

- 使 用 “远程 控制 任 我 行 ”实现 远程 控制 
- 远程 控制 的 好 助手 : PcAnywhere 


防 学 远程 控制 


12.1 Windows 自 带 的 远程 桌面 


远程 抹 面 米 用 了 一 种 类 似 Telnet 的 技术 ， 远 程 桌 面 连接 组 件 是 微软 公司 从 Windows 2000 server 开 始 提供 的 ， 用 户 只 需 通 过 简单 
设置 即 可 开启 Windows 系 统 下 的 远程 桌面 连接 功能 。 


当 某 人 台 计 算 机 开局 了 远程 梨 面 连接 功能 后 ， 其 他 用 户 融 可 以 在 网 络 的 另 一 冰 控 制 这 人 台 计 算 机 了 ， 可 以 在 该 计算 机 中 安 半 软件 、 运 
行程 序 ， 所 有 的 一 切 都 好 像 是 直接 在 该 计算 机 上 操作 一 样 。 通 过 该 功能 网 络 管理 员 可 以 在 家 中 安全 地 控制 工作 单位 的 服务 器 ， 而 且 由 
于 该 功能 是 系统 内 置 的 ， 所 以 使 用 起 来 比 其 他 第 三 万 远程 控制 工具 更 万 便 、 灵 活 。 


12.1.1 Windows 系 统 的 远程 宋 面 连接 
远程 傈 面 可 让 用 户 可 靠 地 使 用 远程 计算 机 上 的 所 有 的 应 用 程序 、 文 件 和 网 络 人 资源 ， 束 如 同 用 户 本 人 就 坐 在 远程 计算 机 的 面前 一 
样 ， 不 仪 如 此 ， 本 地 (办公室 ) 运行 的 任何 应 用 程序 在 用 户 使 用 远程 梨 面 远程 (家 、 会 议 室 、 途 中 ) 连接 后 仍 会 运行 。 


在 Windows 系 统 中 保留 了 远程 桌面 连接 功能 ， 以 实现 请 专家 远程 控制 ， 帮 助 用 户 解 决 计算 机 问题 的 目的 。 如 果 需 要 实现 远程 保 
面 连接 功能 ， 可 按 如 下 操作 进行 设置 。 


步骤 01: 选择 “开始 ”一 “控制 面板 ”菜单 项 ， 即 可 打开 “控制 面板 ”窗口 ， 如 图 12-1 所 示 。 


步骤 02: 单 击 “系统 ”图 标 ， 即 可 打开 “系统 ”对 话 框 ， 如 图 12-2 所 示 。 在 界面 左 侧 单 击 “ 远 程 设置 ”选项 ， 即 可 打开 “系统 属 


性 ”对 话 框 ， 如 图 12-3 所 示 。 在 “远程 ”选项 卡 中 多 选 “ 人 允许 远程 协助 连接 这 人 台 计 算 机 ” 复 选 框 ( 若 想 成 功 建立 远程 控制 连接 ， 则 对 
方 也 应 勾 选 此 复 选 框 ) 。 单 击 “ 选 择 用 户 ” 按 钮 ， 即 可 添加 那些 需要 进行 远程 连接 但 还 不 在 本 地 管理 员 安 全 组 内 的 任何 用 户 ， 如 图 
12-4 所 示 。 


图 12-1 “控制 面板 ”窗口 
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图 12-2 “系统 ”对 话 框 


“附件 ”一 “远程 豆 面 连接 ”菜单 项 ， 即 可 打开 “远程 条 面 连接 ”对 语 框 ， 如 图 12-5 所 
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图 12-3 “系统 属性 ”对 话 框 
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图 12-4 添加 远程 桌面 用 户 


步骤 04: 单 击 “ 选 项 ”按钮 ， 即 可 将 有 天 选项 的 设置 项 展开 。 选 择 “ 钊 规 ” 选 项 上 下， 在 “登录 设置 ”选项 组 的 “计算 机 ”文本 框 
中 输入 要 进行 远程 果 面 连接 的 计算 机 名 称 ; 在 “用 记名 ”文本 框 中 输入 登录 使 用 的 用 户 名 ; 名 用 户 要 保 仔 凭证 ， 可 勾 选 “允许 我 保存 
凭据 ” 复 选 框 ， 如 图 12-6 所 示 。 
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图 12-5 “远程 桌面 连接 ”对 话 框 


步骤 05: 在 “显示 ”选项 卡 中 可 设置 远程 昌 面 显示 的 大 小 、 颜 色 质 量 ， 如 图 12-7 所 示 。 在 “本 地 资源 ”选项 卡 中 可 设置 远程 计算 


机 的 声音 及 会 话 中 使 用 的 设备 和 资源 ， 如 图 12-8 所 示 。 在 “体验 ”选项 卡 中 可 选择 远程 连接 的 速度 (建议 选择 局 域 网 <10Mbps 或 更 
高 >) I 如 图 12-9 所 示 。 
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图 12-6 “常规 选项 卡 
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图 12-8 “本 地 资源 ”选项 卡 
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图 12-9 “体验 ”选项 卡 


步骤 06: ва o | 按钮， 即 可 进行 远程 桌面 连接 。 同 时 将 弹出 “Windows 安 全 ”对 话 框 ,在 “Administrator” 文 本 框 中 输入 
登录 用 户 的 名 称 ; 在 密码 文本 框 中 输入 登录 密码 ， 如 图 12-10 所 示 。 


图 12-10 “Windows 安 全 ”对 话 框 


步骤 07: 单 击 “确定 ”按钮 ， 即 可 登录 到 远程 计算 机 票面 ， 此 时 用 户 人 在 远程 祥 面 上 的 操作 与 在 本 机 上 的 操作 无 任何 差别 ， 如 图 
12-11 所 示 。 在 登录 成 功 之 后 ， 束 可 以 使 用 该 远程 桌面 中 的 程序 进行 各 项 操作 了 。 这 里 以 打开 “我 的 电脑 ”为 例 ， 如 图 12-12 所 示 。 


步骤 08: 需要 上 断 开 远程 昌 面 连接 时 ， 只 需 在 本 地 计算 机 中 单 击 “ 远 程 果 面 连接 ”窗口 上 的 “关闭 ”按钮 ， 在 弹出 的 提示 框 中 单 
击 “ 确 定 ”按钮 ， 如 图 12-13 所 示 。 
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12-13 ИРАКЛИ НЕ 


登录 远程 计算 机 的 用 户 必 须 设 置 密码 ， 否 则 将 不 能 正常 使 用 远程 桌面 连接 功能 。 另 外 ， 进 行 远程 桌面 连接 时 远程 计算 机 用 户 将 不 
登录 ， 若 登录 则 先 要 断 开 远程 桌面 连接 。 


12.1.2 ”Windows 系 统 远程 天 机 

一 般 情 况 下 ， 访 问 其 他 计算 机 的 用 户 只 有 guest 权 限 ， 此 时 要 执行 远程 关闭 计算 机 的 操作 ， 就 会 出 现 拒绝 访问 的 提示 。 为 此 ,用 
户 需要 修改 被 远程 关闭 的 计算 机 中 的 guest 用 户 操作 权限 。 

具体 的 操作 方法 如 下 。 


步骤 01: 在 “运行 ”对 话 框 中 运行 gpedit.msc 命 令 ， 即 可 打开 “本 地 组 策略 编辑 器 ”窗口 ， 依 次 选择 “计算 机 本 
” 忆 “Windows 设 置 ”一 “安全 设置 ”一 “本 地 策略 ”一 “用 尸 权 限 分 配 ” 选 项 ， 如 图 12-14 所 示 。 
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步骤 02: 双击 右 侧 窗口 中 的 “从 远程 系统 强制 天 机 ”选项 ， 在 弹出 的 对 话 框 中 将 guest 用 户 添 加 到 用 户 或 组 列表 框 中 ， 如 图 12- 
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图 12-14 “林地 组 策略 编辑 器 ”窗口 


步骤 03: 在 本 地 计算 机 中 打开 命令 提示 符 窗口 ， 在 其 中 输入 “shutdown-s-m\PC (远程 计算 机 名 ) -t 30” 命 令 ， 其 中 30 为 关 
闭 延 迟 时 间 ， 如 图 12-16 所 示 。 


步骤 04: 被 关闭 的 计算 机 屏幕 上 将 显示 “系统 关机 ”对 话 框 ， 被 关闭 计算 机 的 操作 员 可 输入 “shutdown-a” 命 令 中 止 关机 任 
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12-15 ”添加 guest 用 户 


EN 管理 员 : C\Windows\system32\cmd.exe 


Microsoft Windows (УЖ 6.1.26011 | 
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С: Шере Administrator сах 


С: N2shutdoun -s -m «pc -t 3H 


112-16 “输入 关机 命令 


WinShell 是 一 个 运行 在 Windows 平 台 上 的 Telnet 服 务 器 软件 ， 主 程序 是 一 个 仅仅 6K 大 小 的 exe 文 件 ， 可 元 全 独立 执行 而 不 依赖 于 
任何 系统 动态 连接 库 ， 尽 管 它 体积 很 小 ， 功 能 却 很 如 大 ， 它 文 持 定制 痛 口 、 密 码 保护 、 多 用 户 登 录 、NT 服 务 方式 、 远 程 文件 下 载 、 
言 息 目 定义 及 独特 的 反 DDOS 等 功能 。 


默认 状态 下 ， 定 制 WinShell 的 主 程序 会 生成 一 个 压缩 过 的 体积 很 小 的 WinShell 服 务 端 ， 当 然 也 可 以 不 定制 ， 而 使 用 其 他 压缩 或 保 
护 程 序 对 生成 的 WinShell 服 务 端 进行 处 理 。 


在 安 痰 并 运行 WinShell 之 后 ， 束 可 以 根据 目 己 要 求 配置 服务 尊 了 ， 如 图 12-17 所 示 。 
具体 操作 步骤 如 下 。 


步骤 01: 在 “监听 并 口 ” 文 本 框 中 设置 即将 生成 的 服务 痊 运 行 后 的 帆 口 号 ， 黑 认为 92277。 再 设置 登录 服务 背 时 需要 的 连接 密 
码 ， 默 认为 无 密码 。 
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“连接 密码 返回 信息 ”项 意 为 登录 WinShell 时 要 求 输入 密码 的 提示 信息 ， 默 认为 “Password: ” ， 可 设置 为 室 ， 即 无 提示 信息 


步骤 02: 在 “服务 列表 名 字 ” 文 本 框 中 选择 默认 值 WinShell Service， 下 方 的 “服务 描述 ”项 是 指 显 示 在 NT 服务 列表 中 说 明 服 务 
具体 功能 的 字符 串 ， 默 认为 Provide Windows Shell Service, 


步骤 03: 设置 服务 痕 在 系统 中 以 服务 方式 运行 时 的 服务 名 字 ， 默 认为 WinShell。“ 注 册 表 局 动 名 字 ” 项 是 指 在 安 禾 Winshel| 
时 ,为 了 在 系统 启动 后 能 自动 运行 ，WinShell 写 在 注册 表 路 径 HKEY_LOCAL МАСНІМЕ\ЅОҒТМАКЕ\Місго 
softAWindowsNCurrentVersionNXRun 处 的 字符 串 名 ， 默 认为 WinShell， 其 值 也 为 字符 串 类 型 ， 如 C: \windows\winshell.exe。 


步骤 04: 勾 选 “是 否 自动 安装 ” 复 选 框 ， 设 置 当 Winshell 运 行 时 自动 安装 本 身 。 
步骤 05: 设置 完毕 之 后 ， 单 击 “ 生 成 ”按钮 让 WinShel| 的 主 程序 生成 一 个 压缩 过 的 体积 很 小 的 WinShell 服 务 端 ， 稍 后 将 自动 弹 
出 一 个 如 图 12-18 所 示 的 文本 文件 ， 从 中 可 以 看 到 生成 的 服务 端的 配置 信息 。 


步骤 06: 查看 生成 的 服务 器 端 文 件 大 小 ， 将 会 发 现 服务 器 端 程 序 大 小 只 有 12.5KB， 如 图 12-19 所 示 。 由 于 作者 设计 WinShell 是 作 
为 一 个 非常 小 巧 方便 的 Telnet 服 务 器 软件 ， 而 不 是 木马 程序 ， 所 以 WinShell 的 进程 并 没有 隐藏 ， 如 图 12-20 所 示 (这 里 也 只 是 在 服务 
器 上 运行 ) 。 


步骤 07: 在 配置 完了 服务 端 程序 并 在 指定 计算 机 中 运行 之 后 ， 束 可 以 使 用 Telnet 命 令 与 远程 计算 机 进行 连接 ， 执 
行 “telnetx xx.xxx.xxx.xxx5277” 并 输入 正确 的 密码 (如 果 需 要 的 话 ) 后 即 可 登录 成 功 ， 命 令 格 式 为 “telnet 服 务 器 IP 
5277" 


步骤 08: 在 登录 后 ， 需 要 在 命令 行 中 输入 “?” 并 按 回 车 键 查看 可 以 操作 的 命令 ， 如 图 12-21 所 示 。 通 过 反馈 信息 得 知 可 以 使 用 
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12-17 配置 服务 端 


dd zerger.exetwt- IDAE 


тыр ЖЕЕ] 格式 IO РЕМ 帮助 (H) 


IWinShell Configuration File 


WinShell Server Path : Е: ME Wr El 
YWinShell50Nserver. exe 
WinShell Server Size : 12832 Bytes 


|Port [5277] 
Password [] 
Password Banner : [Password: | 
Registrv КеуМаше : [WinShell] 
|Service Name : [WinShelll 


|Service DisplayName : [WinShell Service] 
|Service Description : [Provide Windows Shell 


[Service] 


|DownExec Flag : [Nol 
|Url Address : 
Destination Filename ` L] 
AutoInstall Flag : [Yes] 


12-18 ”生成 的 服务 端的 配置 信息 
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912-19 ”查看 生成 服务 器 端 文件 大 小 
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12-21 显示 的 反馈 信息 


显然 ， 服 务 疹 的 制作 是 十 分 方便 的 ， 而 对 系统 资源 的 占用 却 是 很 小 的 ， 加 之 操作 命令 并 不 复杂 ， 因 此 ， 需 要 进行 远程 管理 的 用 户 
可 尝试 使 用 WinShell 来 完成 任务 。 


12.2.2 ”实现 远程 控制 


当 配 置 好 WinShell 服 务 器 并 在 被 控 端 计算 机 中 运行 后 ， 用 己 可 在 主 控 瑞 计算 机 中 利用 “命令 提示 符 ” 窗 口 输 入 有 关 Telnet 命 令 与 
远程 计算 机 建立 连接 ， 并 进行 控制 。 
具体 的 操作 方法 如 下 。 


步骤 01: 将 已 配置 好 的 WinShell 服 务 端 复制 到 远程 计算 机 中 并 运行 。 在 主 控 闹 计算 机 “命令 提示 符 ” 窗 口中 运行 “Telnet 服 务 器 
ІР 5277” 命 令 ， 即 可 成 功 连 接 ， 如 图 12-22 所 示 。 


步骤 02: 执行 “?” 命 令 ， 即 可 查看 WinShell 的 所 有 命令 参数 ， 如 图 12-23 所 示 。 
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图 12-23  WinShell 4 4- Ж 


步骤 03: #7 "<" dp, Ку И АЛО, 2ПЕ12-24 тх. ШАУ ЕЁ} ЇН ГАДЕЛЛЕК ИЛ, 7. 


EX Telnet 192.168.0.16 
s Shell 

x eXit 

в Quit 


Download: 
MD>httpš:2Z/Z...2Zsru exe 


Ffor help 
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licrosoft Windows 208006 [Version 5.00.2195 1 


CCo ҺЕН 1985—2000 Microsoft Corp. 


WinShell 命 令 参 数 及 其 功能 如 下 。 
-i Install: 远程 安装 功能 。 
- г Remove: 远程 反 安 装 功 能 ， 


- b Path: 查看 WinShell 主 程序 的 路 径 信 息 。 


- b reBoot: 重新 启动 远程 计算 机 。 
 d shutdown: 关闭 远程 计算 机 。 
- s Shell: WinShell 提 供 的 Telnet 服 务 功能 
` X exit: 


` q qutt: 终 上 WinShell 的 运行 。 此 命令 不 反 安 


如 果 想 尝试 一 下 “ 


种 应 用 场合 。 


一 从 计算 机 同时 管理 和 控制 多 台 
无 饰 是 一 个 很 好 选择 。QuicklIP 可 用 于 服务 器 管理 、 远 程 资源 共享 、 网 吧 机 器 管理 、 远 程 办 公 


图 12-24 Telnetik 4%- 


退出 本 次 登录 会 话 。 但 此 命令 不 终止 WinShell 的 运行 


装 WinShell。 


计算 机 、 


命令 并 不 终止 WinShell 的 运行 


多 台 计 算 机 也 同时 管理 一 台 计算 机 ”这 
、 远 程 教育 、 


样 的 “多 点 ”控制 ，QuickIP 
排除 故障 、 远 程 监 控 等 多 


12.3.1 ”设置 QuicklP 服 务 器 端 


由 于 QuickIiP 是 将 服务 器 端 与 客 尸 病 合 并 在 一 起 的 ， 所 以 无 论 在 哪 台 计 算 机 中 都 是 一 起 安 冯 服 务 器 端 和 客 尸 问 ， 这 也 是 实现 一 台 
服务 器 可 以 同时 被 多 个 客 己 机 控制 、 一 个 客 己 机 也 可 以 同时 控制 多 个 服务 器 的 前 提 条 件 。 配 置 QuicklP 服 务 器 凯 的 具体 操作 步 又 如 
TR. 


步骤 01: Ент ја, #5 ОВЕН АЗ Eum. (ңа ЫҒЫН "wBDisfr;QuicklPBg2s88" ӘЛЕН “s= 
成 ”按钮 即 可 ， 如 图 12-25 所 示 。 


+! - QuickIP 
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图 12-25” 勾 选 “立即 运行 QuickIP 服 务 器 ”项 


步骤 02: 为 了 实现 安全 的 密码 验证 登录 ，QuicklP 设 定 客户 端 必 须知 道 服务 器 的 登录 密码 才能 进行 登录 控制 。 因 此 ，QuicklP 服 
务 器 辛 运行 前 会 弹出 一 个 设置 密码 提示 框 ， 要 求 立 即 设置 一 个 密码 ， 如 图 12-26 所 示 。 


步骤 03: 蛙 击 “确定 ”按钮 ， 即 可 打开 “修改 本 地 服务 器 的 密码 ”对 话 框 ， 在 “新 密码 ”文本 框 和 “ 重 输 新 密码 ”文本 框 中 输入 
相同 的 密码 ， 如 图 12-27 所 示 。 单 击 “ 确 定 ” 按 钮 ， 即 可 看 到 密码 已 经 设 定 成 功 了 。 


步骤 04: 此 时 残 可 以 看 到 QuicklP 的 服务 器 管理 窗口 了 ， 从 右 侧 提示 信息 中 可 以 看 到 “服务 器 局 动 成 功 ”的 提示 ， 如 图 12-28 所 
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912-27 输入 相同 的 密码 
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图 12-28 服务 器 启动 成 功 


12.32 ”设置 QuicklIP 客 户 端 


客户 端的 设置 束 相 对 简单 了 ， 主 要 是 添加 服务 器 端的 操作 。 具 体 的 操作 步骤 如 下 。 


步骤 01: 单 击 工具 栏 中 的 “添加 主机 ”按钮 准备 添加 服务 器 ， 在 弹出 对 话 框 的 “主机 ”文本 框 中 输入 远程 计算 机 的 IP 地 址 ， 
在 “ 痛 口 ”和 “密码 ”文本 框 中 输入 在 服务 器 站 设 置 的 信息 ， 如 图 12-29 所 示 。 


步骤 02: 单 击 “确认 ”按钮 继续 ， 稍 后 惑 可 以 在 客户 岂 窗 口中 的 “远程 主机 ”下 看 到 刚刚 添加 的 IP 地 址 了 。 单 击 该 IP 地 址 后 ， 从 
展开 的 控制 功能 列表 中 可 看 到 远程 控制 功能 十 分 丰富 ， 这 表示 客 尸 端 与 服务 器 端的 连接 已 经 成 功 了 ， 如 图 12-30 所 示 。 
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912-29 ”添加 远程 主机 


веле Ib ІҢ =8 mm 


к x d M ф * 2% ! 
添加 主机 pA жак 扫描 主机 Банев! 网 阁 电话 主机 信息 ШЕ HRE meih Я 


Ja КЕД [192 16001914 = | E gE QuickIP | 


£ D. ТАГ. 
| "P ЕЗ ЕЕЕ 
rug meme Windews SOOD/NIÁ/NT only 


图 12-30 ”远程 主机 的 控制 功能 列表 


12.3.3 ”实现 远程 控制 


下 面 来 看 看 如 何 进 行 远程 控制 ( 签 于 QuicklP 的 功能 非常 强大 ， 只 讲 几 个 比较 弟 用 的 控制 操作 ) ， 具 体操 作 步 又 如 下 。 


步骤 01: 单 击 “远程 磁盘 驱动 器 ”选项 ， 即 可 看 到 远程 计算 机 中 的 所 有 驱动 器 ， 如 图 12-31 所 示 。 在 志 试 单 击 ;光驱 (这 里 为 E 


盘 ) 后 ， 可 以 友 现 当前 光驱 的 驱动 盘 符 。 显 然 ，QuicklP 对 远程 计算 机 光驱 具有 很 好 的 控制 能 


— 


步骤 02: 蛙 击 “远程 控制 ”项 下 的 “屏幕 控制 ”项 ， 即 可 在 稍 后 弹出 的 窗口 中 看 到 远程 计算 机 桌面 ， 如 图 12-32 所 示 。 可 以 在 该 
窗口 中 通过 鼠标 和 键盘 来 完成 对 远程 计算 机 的 控制 。 


F QuicklP. EA 
人 
m. a а М QE ә x [ 
添加 主机 й EHE HEEN еее) FARE їн Ші анта mb Я 
T и Е E ЖЕ QuickIP 


: 7314 
2 БІЛТЕ 
Н: ва С: ЕНЫ 
са D: FIXED 


E- Е: FIXED 
F- == G: FIXED 
IM стоп 
ЕЗ 远程 控制 
+ En БЕС 
ӨП М9 Е И 


图 12-31 查看 远程 驱动 器 
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图 12-32 ”远程 屏幕 控制 


步骤 03: 如 果 远 程 计算 机 出 现 速度 忽然 组 慢 等 情况 ， 则 可 以 通过 单 击 “ 远 程 主机 进程 列表 ”选项 ， 查 看 远程 计算 机 进程 来 快速 诊 
新 远程 计算 机 的 问题 所 在 。 


步骤 04: 如 果 对 远程 计算 机 的 操作 已 经 结束 ， 为 了 安全 起 见 融 应 该 关闭 远程 计算 机 了 。 单 击 图 12-33 所 示 “ 远 程控 制 ” 下 的 “ 远 
程 天 机 ”选项 ， 会 弹出 对 话 窗口 询问 是 否 关 闭 ， 在 这 里 选择 “是 ” 即 可 。 
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图 12-33 ”远程 关机 


限于 篇 幅 ， 本 书 无 法 详细 讲述 该 软件 的 远程 控制 功能 ， 但 通过 上 述 的 远程 控制 应 用 过 程 可 以 看 出 ，QuicklP 远 程控 制 功能 十 分 强 
大 ， 是 网 管 和 有 远程 控制 需求 的 用 户 的 好 帮手 。 


12.4 使 用 “远程 控制 任 我 行 ”实现 远程 控制 


“远程 控制 任 我 行 ”是 一 秋 具 有 “正六 连接 ”和 “上 肥 辐 连接 ”功能 的 远程 控制 软件 ， 利 用 该 工具 可 以 控制 远程 计算 机 ， 残 像 控制 
目 己 的 计算 机 一 样 。 诅 软件 具有 远程 屏幕 监控 、 远 程 语音 视频 、 远 程 文件 管 理 、 远 程 注册 表 操 作 、 远 程 键盘 记录 、 主 机 上 绪 通 知 、 远 
程 命令 控制 和 远程 信息 友 送 等 功能 。 


12.4.1 FECE am 


“远程 控制 任 我 行 ”工具 由 客户 疹 程 序 (Client) 和 服务 器 端 程序 (Server) MÉIER, ШЕННЕН FER ДЕ ЕРЕШЕ НА 
算 机 上 ， 而 将 服务 器 端 程序 安装 到 被 控 刀 的 计算 机 上 。 
下 面 介 绍 配置 服务 端的 具体 操作 步骤 。 


步骤 01: 先 安 六 并 运行 “远程 控制 任 我 行 ”软件 ， 即 可 打开 “远程 控制 任 我 行 ” 主 窗口 ， 如 图 12-34 所 示 。 


图 12-34 “远程 控制 任 我 行 ” 主 窗口 


步骤 02: 蛙 击 工具 栏 中 的 “配置 服务 端 ”按钮 ， 即 可 打开 “选择 配置 类 型 ”对 话 框 ， 如 图 12-35 所 示 。 该 工具 提供 了 “ 正 同 连接 


型 ”和 “有 反 疝 连接 型 ”两 种 形式 。 如 果 在 局 域 网 中 控制 ADSL 用 户 ， 需 要 选择 正 向 连接 。 而 在 ADSL 连 接 中 控制 局 域 网 用 户 ， 则 需要 选 
择 “ 反 向 连接 ”选项 。 


步骤 03: 蛙 击 “ 正 同 连接 型 ”按钮 ， 即 可 打开 “ 正 向 连接 ”对 话 框 ， 在 其 中 对 服务 器 程序 的 图 标 、 邮 件 设 置 、 安 冯 信 息 、 局 动 选 
项 等 属性 进行 设置 或 修改 ， 如 图 12-36 所 示 。 
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图 12-35 “选择 配置 类 型 ”对 话 框 
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12-36 “ 正 向 连接 ”对 话 框 


步骤 04: 在 “安装 信息 ”选项 卡 中 可 设置 服务 端的 安 涂 路径、 安装 名 称 、 保 仔 路 径 和 名 称 ， 以 及 显示 状态 等 信息 ， 如 图 12-37 所 
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步骤 05: 在 “提示 信息 ”选项 卡 中 可 设置 信息 标题 、 信 息 正文 、 图 标 类 型 以 及 按钮 类 型 等 信息 ， 如 图 12-38 所 示 。 


步骤 06: 蛙 击 “生成 服务 端 ” 按 钮 ， 即 可 打开 “生成 服务 端 完 成 ”提示 框 ， 如 图 12-39 所 示 。 蛙 击 “ 确 定 ” 按 钮 ， 即 可 在 指定 的 
位 置 生 成 一 个 RWX.exe 应 用 程序 。 将 生成 的 服务 并 程 序 植 入 被 控制 的 计算 机 中 并 运行 ， 在 植 入 后 RWX.exe 会 被 目 动 删 除 ， 该 服务 端 程 
序 会 在 目标 计算 机 每 次 开机 时 目 动 局 动 。 
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图 12-37 “安装 信息 ”选项 卡 


Ву LE 


[12-38 “提示 信息 ”选项 卡 


ненне aB 


2354 Frazao LEUR EC TERANE SS ала 


Шана жш S BR 


ILE D: \ЕНХ. exe 


图 12-39 “生成 服务 端 完成 ”提示 框 


12.4.2 ”进行 远程 控制 


ТЕВота то за та, ӘБЕН іт Est itt es VERE, ПЕРЕ ет, SCIRPE. НЕЕ». ЕТІЛ ЕРЕ 
制 的 操作 步骤 如 下 。 


步骤 01: 在 客户 站 计算 机 上 打开 “远程 控制 任 我 行 ” 主 窗口 ， 在 “连接 主机 ”文本 框 中 输入 被 控制 计算 机 的 I|P 地 址 ， 在 “连接 密 
码 ” 和 “连接 尊 口 ”文本 框 中 输入 连接 密码 和 连接 端口 ， 如 图 12-40 所 示 。 


步骤 02: 单 击 右 侧 的 “连接 ”按钮 ， 即 可 开始 连接 对 方 的 服务 器 问 程 序 。 竺 连接 成 功 后 ， 人 在 “远程 电脑 ”列表 中 可 得 看 该 远程 计 
算 机 中 的 文件 ， 如 图 12-41 所 示 。 
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图 12-41 查看 远程 计算 机 中 的 文件 


步骤 03: 单 击 “ 屏 朝 监 视 ” 按 钮 ， 即 可 打开 “屏幕 监控 - 正 同 连 接 ” 窗 口 。 单 击 “ 连 接 ” 按 钮 ， 即 可 显示 受 控 计算 机 的 屏幕 ， 如 
图 12-42 所 示 。 单 击 其 中 的 “键盘 ”、“ 鼠 标 ” 按 钮 ， 可 以 使 用 键盘 和 鼠标 来 对 受 控 计算 机 上 的 程序 进行 操作 。 


步骤 04: 利用 “远程 控制 任 我 行 ” 工 具 的 “远程 文件 管理 ”功能 ， 可 以 在 客 尸 端 计算 机 和 受 控 端 计 算 机 间 传 输 文 件 ， 如 图 12-43 
所 示 。 在 “远程 控制 任 我 行 ” 窗 口 的 “远程 文件 管理 ”选项 卡 中 浏览 受 控 计算 机 的 相应 文件 夹 ， 选 中 需要 下 载 的 文件 并 右 击 ， 在 石 键 
菜 蛙 中 选择 “文件 下 载 ” 选 项 ， 随 后 选择 保存 的 位 置 ， 即 可 将 该 文件 下 载 到 本 地 计算 机 中 。 而 “文件 上 传 ”的 作用 是 将 客 尸 端 计 算 机 
上 的 文件 上 传 到 受 控 的 计算 机 中 。 
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步骤 05: 选择 “远程 语音 视频 ” 
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选择 “远程 命令 控制 " 


而 利用 “远程 关机 ”栏目 中 的 命令 可 


选项 


НЕА - Bm ln 
т-н - + Ж lre 
Ее - 二 只 行 一 日 后 .lee 


ами - | 
mb жаз Ише 
E Мәмен ый - ЗЕР. ге 


12-43 


卡 ， 设 置 友 送 信息 各 个 属 


卡 ， 在 其 中 看 到 “远程 控制 任 我 行 ” 
过 “远程 桌面 ”栏目 中 的 命令 对 受 控 计算 机 进行 隐藏 桌面 图 标 、 
进行 正常 关机 、 重 新 局 动 、 


Е, 单 击 “ 开 局 视频 


隐藏 任务 栏 、 


triti 
Ctelt 
GtrltY 


Ctrltn 
Ctelth 


对 受 控 程序 操作 


隐藏 快速 局 动 项 
注销 用 尸 、 进 入 休眠 、 启 动 屏保 、 有 瞬间 黑屏 等 操作 。 


等 操作 ， 
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”按钮 ， 即 可 与 对 方 进行 语音 视频 ， 如 图 12- 


工具 提供 的 远程 控制 命令 ， 如 图 12-45 所 示 。 可 通 
还 可 锁定 受 控 计 算 机 的 如 面 。 
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12-44 “远程 语音 视频 ”选项 卡 
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12-5 “远程 控制 命令 ”选项 卡 


步骤 07: 选择 “远程 系统 信息 ”选项 卡 ， 单 击 “ 查 看 ”按钮 ， 即 可 查看 远程 系统 配置 信息 、 远 程 况 贴 板 信 息 以 及 远程 运行 窗 体 信 


I 如 图 1 2-46 Тл. 


步骤 08: 选择 “远程 注册 表 操 作 ” 选项 下 ， 在 其 中 可 对 远程 主机 的 注册 表 进 行 查 看 、 删 除 、 修 改 等 操作 ， 残 像 操 作 本 机 注册 表 一 
如 图 12-47 所 示 。 
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图 12-46 “远程 系统 信息 ”选项 卡 
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图 12-47 “远程 注册 表 操 作 ” 选 项 卡 


“远程 控制 任 我 行 ” 工 具 是 利用 端口 1778 进 行 远程 控制 的 ， 所 以 在 进行 远程 控制 之 前 ， 受 控 端 与 主 控 端 都 必须 开启 该 端口 。 


12.5 “远程 控制 的 好 助手 pcAnywhere 


Symantec pcAnywhere 是 一 款 非 常 经 典 的 远程 控制 工具 ， 可 以 提高 技术 支持 效率 并 减少 了 呼叫 次 数 。 使 用 被 控 问 会 议 功能 ， 可 
建立 一 个 Symantec pcAnywhere 被 控 闯 的 多 个 并 发 远程 连接 。 使 用 pCAnywhere 远 程控 制 软件 ， 需 要 同时 在 主 控 妆 和 被 控 端 计算 机 


12.5.1 设置 pcAnywhere 的 性 能 


在 主 控 端 和 人 被 控 端 计算 机 中 分 别 安 六 好 pcAnywhere 之 后 ， 要 想 真 正 让 pcAnywhere 控 制 远 程 计算 机 ， 要 做 的 第 一 步 工 作 束 是 配 
а ет АЛ. 
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又 01: 双击 Symantec pcAnywhere 图 标 图 ， 即 可 进入 pcCAnywhere 窗 口 ， 如 图 12-48 所 示 。 单 击 “ 主 机 ”链接 选项 ， 即 可 打 
“连接 向 导 -- 连 接 方法 ”对 话 框 ， 如 图 12-49 所 示 。 
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图 12-49 “连接 向 导 一 连接 方法 ”对话 框 


步骤 02: 在 选择 好 连接 方法 之 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 即 可 打开 “连接 向 导 - 连 接 模式 ”对 话 框 ， 在 其 中 选择 “等待 有 人 呼叫 
我 ” 单 选项 ， 如 图 12-50 所 示 。 


步骤 03: 在 选择 好 连接 模式 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 即 可 打开 “连接 向 导 - 验 证 类 型 ”对 话 框 ， 在 其 中 选择 需要 的 验证 类 型 ， 
如 选取 “我 想 使 用 一 个 现 有 的 Windows 账 尸 ” 单 选项 ， 如 图 12-51 所 示 。 
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12-50 “连接 向 导 - 连接 模式 ”对 话 框 


с E аЕ 


НОВИНА АЕ ES 


‚ВЕЕР TRAR] Yindews WEEDS 
90182 —"1-FH Ре НЕВА) о 


— 


сек, ЕНІН bhe ° 


Ево а 5] 


12-51 “连接 向 导 一 验证 类 型 ”对 话 框 


步骤 04: 单 击 “ 下 一 步 ” 按 钮 ， 即 可 打开 “连接 向 导 -- 选 择 账 户 ” 对 话 框 ， 在 其 中 选择 远程 登录 用 己 所 使 用 的 本 地 账 尸 ， 如 图 12- 


52H. 


步骤 05: 单 击 “ 下 一 步 ”按钮 ， 即 可 打开 “连接 向 导 - 连 接 名 称 ” 对 话 框 ， 在 文本 框 中 输入 连接 的 名 称 ， 如 图 12-53 所 示 。 
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图 12-52 “连接 向 导 一 选择 账户 ”对 话 框 
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612-555 “#2 06 - 连接 名 称 ” 对 话 框 


步骤 06: 单 击 “ 下 一 步 ” 按 钮 ， 即 可 打开 “连接 同 导 -摘要 ”对 语 框 ， 人 在 其 中 可 选择 是 否 在 连接 内 导 完 成 后 等 待 来 目 远程 计算 机 
的 连接 ， 如 图 12-54 所 示 。 
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图 12-54 “连接 向 导 一 摘要 ”对 话 框 


步骤 07: 单 击 “完成 ”按钮 ， 即 可 关闭 连接 向 导 ， 同 时 在 Windows 的 通知 区 域 中 显示 一 个 国 图 标 ， 表 示 pcAnywhere 正 在 等 待 远 
程控 制 端的 连接 。 在 pcAnywhere 管 理 器 一 栏 单 击 “ 远 程 ” ， 然 后 在 操作 一 栏 单 击 “ 属 性 ”， 即 可 打开 其 属性 对 话 框 ， 如 图 12-55 所 
示 。 在 属性 对 话 框 的 “设置 ”选项 卡 中 可 对 要 控制 的 网 络 主机 PC 或 I1P 地 址 、 登 录 信 息 以 及 连接 选项 进行 设 定 ， 如 图 12-56 所 示 。 
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图 12-55 ”属性 
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图 12-56 “设置 ”选项 卡 


步骤 08: 在 上 述 属性 都 配置 好 之 后 ， 单 击 “ 确 定 ”按钮 ， 即 可 完成 被 控 端 的 设置 。 右 击 主 机 图 标 ， 在 快捷 菜单 中 选择 “启动 主 
机 ”菜单 项 ， 主 机 将 启动 并 在 系统 任务 栏 上 显示 一 个 计算 机 形状 的 图 标 ， 开 始 等 待 远程 控制 端 进行 连接 。 当 有 用 户 远程 连接 时 ， 图 标 
将 改变 颜色 。 

(2) 使 用 联机 向 导 设置 主 控 庙 

在 设置 好 被 控 主机 之 后 ， 还 需 配置 主 控制 端 计算 机 。 配 置 主 控制 端的 具体 操作 步骤 如 下 。 


步骤 01: 在 “pcAnywhere 省 理 器 ”任务 栏 中 选择 “远程 ”选项 ， 选 择 “ 文 件 ” 一 “新 建 项 目 ”一 “连接 向 导 ” 有 菜单 项 ， 即 可 打 
开 “ 连 接 向 导 - 连 接 方法 ”对 话 框 ， 如 图 12-57 所 示 。 


步骤 02: 在 选择 好 连接 方法 之 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 即 可 进入 “连接 向 导 - 目 标 地 址 ”对 话 框 ， 在 其 中 输入 远程 计算 机 的 IP 
地 址 ， 如 图 12-58 所 示 。 


步骤 03: 蛙 击 “下 一 步 ”按钮 ， 即 可 打开 “连接 向导 -连接 名 称 ” 对 话 框 ， 在 其 中 输入 需要 连接 的 名 称 ， 如 图 12-59 所 示 。 


步骤 04: 单 击 “ 下 一 步 ” 按 钮 ， 即 可 打开 “连接 向 导 - 摘 要 ”对 话 框 ， 勾 选 “连接 同 导 完 成 后 连接 到 主机 计算 机 ” 复 选 框 ， 青 查 
看 上 自己 的 设置 是 否 正 确 。 硅 无 误 则 单 击 “ 完 成 ”按钮 ， 即 可 关闭 连接 向 导 ， 如 图 12-60 所 示 。 
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12-57 ”选择 连接 方式 
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图 12-58 ”输入 IP 地 址 
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图 12-59 ”输入 连接 名 称 
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图 12-60 ”完成 连接 向 时 


步骤 05: 在 PCAnywhere 管 理 器 一 栏 单 击 “主机 ” ， 然 后 在 操作 一 栏 单 击 “ 属 性 ”， 即 可 打开 其 属性 对 话 框 ， 如 图 12-61 所 示 。 
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图 12-62 “安全 选项 ”选项 卡 


ЖЕН! | 


在 “加 密 ” 选 项 卡 中 可 设置 该 主 控 端 在 远程 控制 过 程 中 使 用 的 加 密级 别 ， 默 认 不 加 密 。 可 按照 需要 选择 使 用 对 称 密 铀 、 公 共 密 钥 
或 pcAnywhere 编 码 ， 其 中 pcAnywhere 编 码 将 前 面 的 两 种 加 密 扩 术 绪 合 在 一 起 ， 具 有 速度 和 安全 性 两 方面 优点 ， 如 图 12-63 所 示 。 
在 “会 议 ”选项 卡 中 可 启用 电话 会 议 。 主 机 电话 会 议 需 要 有 多 点 传送 地 址 ， 且 此 地 址 必须 为 255.1.1.1~239.254.254.254， 如 图 12-64 
所 示 。 
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图 12-64 “会 议 ” 选 项 卡 


步骤 06: 在 “pcAnywhere 管 理 器 ”任务 栏 中 选择 “快速 连接 ”选项 之 后 ， 需 要 在 其 中 输入 被 控 主 机 的 I|P 地 址 、 计 算 机 名 称 。 
在 “局 动 模 式 ” 下 拉 列 表 中 可 选择 “远程 控制 ”、 “远程 管理 “文件 传送 ”等 选项 ， 如 图 12-65 所 示 。 单 击 “ 连 接 ” 按 钮 ， 即 可 
与 航 控 主机 建立 连接 ， 如 图 12-66 所 示 。 


(В Symantec pcAnywhere 
ҰНЫ) ЖӨЕ) вв АН) 
Ет 


Ѕутапќес зеге a 


TE 


al; peinywhere ТЕ 
Ex ЗЕЕ 
in 串口 标识 集合 


РАНИЛ, 
键入 电话 号 码 、 РЕН {НЩ ТСР/ІР НИМЕ. ЗВ СЕР Ж): 


192 188. 0.45 >| 
ТЕНЕ Eom 

启动 模式 ; M: 
fe ШР QD FRE ТСРИТР (T) | EEE] - | 
(^ ШАР (І) zr 
(Com ВА А15 Ф) | Ig 


图 12-65 ”快速 连接 


(3) 快速 部 署 和 连接 


快速 部 署 和 连接 的 具体 操作 步骤 如 下 。 


在 “pcAnywhere 管 理 器 ”任务 栏 中 选择 “快速 部 署 和 连接 ”选项 ， 即 可 看 到 已 经 连接 的 计算 机 名 称 ， 如 图 12-67 所 示 。 双 击 需 


要 连接 的 被 控 主 机 的 计算 机 名 称 ， 即 可 显示 “连接 到 : CY” 对 话 框 ， 在 其 中 输入 登录 用 尸 名 和 密码 之 后 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 
与 被 控 主 机 建立 连接 ， 如 图 12-68 所 示 。 
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图 12-66 ”建立 连接 
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图 12-67 快速 部 署 和 连接 
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图 12-68 “与 被 控 主 机 成 功 建立 连接 


12.5.2 ”用 pcAnywhere 进 行 远程 控制 


与 航 控 主 机 连接 并 成 功 登 录 ， 惑 可 以 对 航 控 主机 进行 远程 控制 了 。 
(1) 远程 控制 
在 “会 话 管理 器 ”任务 栏 中 选择 “远程 控制 ”选项 ， 即 可 对 被 控 主 机 的 梨 面 进行 远程 控制 ， 如 打开 或 天 闭 远 程 窗口 、 通 过 航 控 主 
机 进行 网 页 浏览 等 。 
(2) 远程 管理 
在 “会 话 管理 器 ”任务 栏 中 选择 “远程 管理 ”选项 ， 即 可 对 被 控 端 计算 机 运行 的 应 用 程序 以 及 进程 进行 管理 ， 如 图 12-69 所 示 。 
(3) 文件 传送 


远程 用 户 在 远程 传输 文件 时 可 暂时 中 止 远程 操作 功能 ， 使 文件 传输 线路 更 加 稳定 。 此 外 ，pcAnywhere 还 提供 同步 文件 夹 的 万 式 
传送 文件 ， 人 允许 用 尸 通 过 目 动 化 任务 ， 让 软件 按 用 尸 设置 在 指定 时 间 连 接 远 程 计算 机 ， 进 行 指定 的 文件 传输 操作 或 同步 指定 文件 来 。 

如 果 要 远程 传送 文件 ， 则 在 “会 话 管 理 器 ”任务 柱 中 选择 “文件 传送 ”选项 ， 即 可 在 被 控 虎 与 主 控 并 计 算 机 之 间 进 行文 件 传送 ， 
如 图 12-70 所 示 。 
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图 12-70 ”文件 传送 


(4) яз BAI 
人 在 “会 话 管理 器 ”任务 栏 中 选择 “命令 队列 ”选项 ， 即 可 通过 手动 键入 命令 来 进行 操作 ， 如 图 12-71 所 示 。 
(5) 显示 聊天 


在 即时 通信 软件 流行 的 今天 ， 大 家 也 许 会 网 得 远程 聊天 的 功能 有 些 多 余 ， 恰 恰 相 反 ， 在 很 多 情况 下 ， 该 功能 对 于 双方 沟通 起 着 相 
当 重 要 的 作用 。 在 “会 话 管理 器 ”任务 栏 中 选择 “显示 聊天 ”选项 后 ， 可 像 在 QQ 中 一 样 进行 实 时 聊天 ， 如 图 12-72 所 示 。 


(6) 结束 会 话 


在 “会 话 管理 器 ”任务 栏 中 选择 “结束 会 话 ” 选 项 ， 在 显示 的 对 话 框 中 单 击 “ 是 ”按钮 ， 即 可 结束 主 控 端 与 逢 控 咒 之 间 的 会 话 。 
如 果 用 户 在 联机 过 程 中 保 仔 有 会 话 记 录 ， 则 可 以 在 会 话 结束 乙 后 ， 双 击 该 记录 文件 ， 浏 遇 以 前 的 会 话 过 程 。 


图 12-71 命令 队列 
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图 12-72 ”显示 聊天 


12.6 ” 防 汇 远程 控制 


远程 控制 类 木马 与 普通 符号 木马 不 同 ， 它 需要 取得 计算 机 控制 权 ， 连 接 特定 的 端口 。 这 一 系列 动作 较 容易 被 杀毒 软件 和 防火 墙 捕 
获 ， 杀 毒 软件 会 阻止 运行 或 发 出 提醒 。 建 议 开 启 计算 机 的 Windows 更 新 ， 及 时 更 新 Windows 补 丁 并 关闭 远程 协助 功能 ， 以 避免 被 黑 


客 远程 控制 。 


1) 不 要 接收 陌生 人 通过 QQ、MSN 等 聊天 工具 传送 的 图 片 或 可 执行 程序 。 这 是 由 于 黑客 要 控制 别人 的 计算 机 最 直接 的 万 式 是 设 
法 让 其 主动 运行 服务 端 程序 ， 他 们 友 送 的 文件 可 能 是 一 种 图 片 文件 ， 且 其 中 捆绑 服务 端 程序 。 在 看 图 片 的 同时 已 经 运行 了 远程 控制 软 
件 的 服务 端 程 序 。 


2) 及 时 更 新 Windows。 木 马 要 利用 Windows 漏 洞 来 执行 黑客 工具 ， 必 须 获取 高 级 计算 机 控制 权 ， 所 以 打造 一 个 安全 的 系统 环 
境 ， 还 需要 及 时 对 Windows 系 统 进 行 更 新 。 


启动 Windows 系 统 目 动 更 新 功能 的 具体 操作 步骤 如 下 。 


步骤 01: 在 “控制 面板 ”窗口 中 双击 Windows Update 图 标 ， 即 可 打开 Windows Update 窗 口 ， 如 图 12-73 所 示 。 单 击 “ 检 查 更 
新 ”按钮 可 对 系统 进行 更 新 。 
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图 12-73 “Windows Updates" @ 


步骤 02: 在 窗口 左 侧 栏 单 击 “ 更 改 设置 ”， 打 开 “ 更 改 设置 ”窗口 ， 选 择 “ 目 动 安 半 更 新 ”并 设 定好 更 新 时 间 ， 单 击 “ 确 定 ” 按 
钮 ， 即 可 局 动 Windows 上 自动 更 新 功能 ， 如 图 12-74 所 示 。 还 可 以 使 用 某 些 安全 软件 自 市 的 系统 漏洞 扫 摘 来 进行 更 新 ， 比 如 超级 免 子 、 
360 安 全 卫士 等 。 
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选择 Windows 安装 更 新 的 万 法 


计算 机 联机 时 , Windows 可 以 使 用 这 些 设置 自动 检查 重要 的 更 新 并 对 它们 进行 袜 装 ， 当 有 新 的 更 新 时 ， 您 也 
可 以 在 关闭 计算 机 之 前 对 它们 进行 裤 装 。 
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图 12-74 “更 改 设置 ”窗口 


3) 关闭 远程 桌面 功能 和 开局 防火 墙 。 要 想 成 功 实现 远程 控制 ， 需 要 在 关闭 防火 墙 的 情况 下 进行 ， 开 局 防火 墙 是 有 效 防御 远程 控 
制 的 一 种 万 法 。 另 外 ， 关 闭 远 程 介 面 功能 也 可 阻止 利用 远程 桌面 进行 远程 控制 |。 


具体 的 操作 步骤 如 下 。 


步骤 01: 如 果 想 开启 Windows 系 统 自 带 的 防火 墙 ， 则 需 在 “控制 面板 ”窗口 中 双击 “Windows 防 火 墙 ”图 标 ， 即 可 打 
开 “Windows 防 火 墙 ”窗口 ， 如 图 12-75 所 示 。 
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912-75 “Windows 防 火 墙 ”对 话 框 


步骤 02: 在 “Windows 防 火 墙 ”窗口 左 侧 单 击 “ 打 开 或 关闭 Windows 防 火 墙 ” ， 打 开 “' 自 定义 设置 ”窗口 ， 选 中 “启用 
Windows 防 火 墙 ”， 单 击 “ 确 定 ” 按 钮 ， 即 可 成 功 开启 Windows 防 火 墙 ， 如 图 12-76 所 示 。 


步骤 03: 右 击 “计算 机 ”图 标 ， 在 弹出 菜单 中 选择 “属性 ”对 话 框 ， 即 可 打开 “系统 ”窗口 ， 如 图 12-77 所 示 。 


步骤 04: 人 在“ 系统 ”窗口 左 侧 单 击 “ 远 程 设置 ”， 打 开 “ 系 统 属性 ”对 话 框 ， 选 中 “不 允许 连接 到 这 人 台 计 算 机 ” 单 选 项 ， 单 
击 “确定 ”按钮 ， 即 可 关闭 远程 昌 面 功能 ， 如 图 12-78 所 示 。 
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图 12-76 “开启 Windows 防 火 墙 
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912-77 “系统 ”窗口 
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图 12-78 “系统 属性 ”窗口 


第 13 草 QQ 聊天 工具 


EG 


即时 聊天 工具 目前 已 得 到 普遍 应 用 ， 其 中 最 为 人 们 所 熟悉 的 是 腾讯 公司 的 QQ 软件 。QQ 为 人 们 的 交流 和 


言 息 分 享 提供 了 极 大 万 


便 ， 在 QQ 中 集合 了 大 量 的 资源 ， 例 如 朋友 、 工 作 和 社会 上 的 各 种 资源 。 但 如 果 QQ 号 码 被 黑客 盗 取 ， 损 失 将 是 非常 惨重 的 。 本 节 将 介 


绍 几 蒜 常 见 的 QQ 盗号 工具 。 


AN RES: 


· 055 “ООН” #900515 
зә FRETTA" ООН 
- 防范 QQExplorer 在 线 破解 QQ 号 码 
- 用 “防盗 专家 ”为 QQ 保驾 护航 


- 保护 QQ 密码 和 聊天 记录 
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生成 的 木马 友 送 给 目标 用 户 ， 并 诱骗 其 运行 该 木马 文件 ， 以 达到 入 侵 的 目的 。 
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步骤 01: 下 载 并 解压 “QQ 简单 次 ”压缩 包 ， 双 击 “QQ 简 单 次 .exe” ЕВ00Ј77+ "QOSRA" EAO, 813-127. 
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8131 “QQ 简单 盗 ” 主 窗口 


步骤 02: 在 “QQ 简单 盗 ” 主 窗口 中 填写 收 友信 和 邮箱、 发 信箱 密码 以 及 smtp 服 务 器 ， 填 写 完 成 后 单 击 “ 测 试 友 信 ” 按钮 ， 会 弹出 
对 话 框 ,提示 用 户 查 看 邮箱 是 人 否 收 到 测试 信件 ， 如 图 13-2 所 示 。 


图 13-2 ”提示 信息 


注意 


填写 smtp 服 务 器 时 要 注意 与 发 信 邮 箱 相 对 应 ， 否 则 可 能 无 法 收 到 测试 信件 。 


步骤 03: 至 看 收 到 的 测试 信件 ， 并 曲 击 OK 按钮 返回 主 窗口 。 然 后 单 击 “ 选 择 木 马 图 标 ” 按 钮 ， 会 弹出 “打开 ”对 话 框 ， 可 在 计 
算 机 中 选择 任意 图 标 ， 如 图 13-3 所 示 。 选 择 完 成 后 ， 单 击 “ 打 开 ” 按 钮 ， 即 可 将 此 图 标 作为 即将 生成 的 木马 图 标 ， 如 图 13-4 所 示 。 


步骤 04: 单 击 “ 生 成 木马 ”按钮 ， 会 弹出 “另存 为 ”对 话 框 ， 在 此 可 选择 另存 为 位 置 和 木马 名 称 ， 如 图 13-5 所 示 。 单 击 “ 保 
仔 ” 按 钮 ， 会 弹出 提示 信息 ， 提 示 木 马 文件 释放 到 的 位 置 ， 单 击 “ 确 定 ” 按 钮 ， 如 图 13-6 所 示 。 人 在 存储 位 置 可 查看 到 已 经 生成 的 木 
马 ， 如 图 13-7 所 示 。 


步骤 05: 将 生成 的 木马 友 送 给 目标 用 户 ， 只 要 目标 用 户 人 在 目标 计算 机 中 运行 该 程序 ， 黑 客 误 能够 获取 该 计算 机 中 的 QQ 密码 。 
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图 13-3 “打开 ”对 话 框 
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图 13-5 “另存 为 ”对 话 框 
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图 13-7 生成 的 木马 


13.1.2 эв "QQS" 


对 于 在 公共 场所 上 网 的 QQ 用 户 应 该 特别 注意 防范 被 这 种 方法 盗 取 QQ， 如 果 条 件 允 许 ， 最 好 是 先 用 杀毒 软件 对 计算 机 进行 杀毒 
后 再 进行 登录 。 同 时 ， 也 不 要 轻易 接收 QQ 好 友 发 过 来 的 不 明文 件 ， 说 不 定 束 是 一 个 盗 取 QQ 的 软件 ,一旦 运行 了 ，QQ 也 束 没 有 任何 
安全 性 可 言 了 。 


13.2 55 "HA SW m 900510 


“好 友 号 好 好 盗 ” 是 一 款 黑 客 弟 用 的 远程 次 号 软件 ， 可 在 好 友 在 线 时 对 其 QQ 号 码 进 行 咨 取 。 该 软件 使 用 图 片 进 行 伪 沪 ， 直 接 通 
过 QQ 传 回 密码 ， 还 具有 加 密 传递 信息 功能 。 


该 工具 的 具体 使 用 步骤 如 下 。 


步骤 01: 下 载 并 运行 “好 友 号 好 好 次 ”软件 ， 即 可 打开 “好 友 号 好 好 和 资 ” 主 窗口 ， 在 “你 的 QQ 号 ”文本 框 中 输入 目 己 的 QQ 号 
码 ， 如 图 13-8 所 示 。 


步骤 02: 单 击 “选择 一 个 JPEG 图 片 ” 文 本 框 后 面 的 “浏览 ”按钮 ， 即 可 打开 “你 要 给 网 友 看 什么 图 片 ? ”对 话 框 ， 如 图 13-9 所 
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图 13-8 “好 友 号 好 好 盗 ” 主 窗口 
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913-9 你 要 给 网 友 看 什么 图 片 ? ”对 话 框 


步骤 03: 在 目 己 计算 机 上 选择 一 个 要 给 网 友 看 的 图 片 ， 单 击 “ 打 开 ” 按 钮 ， 即 可 添加 该 图 片 。 单 击 “ 指 定 保 存 的 文件 名 ”文本 框 


НУ "xoi" ЖҮН, БОРТУ "ЕЛЕЕ? " ХАЛЕ, ERRENTAREN Ee, 2ПЕ!13-10Р тх. 


步骤 04: 单 击 “ 打 开 ” 按 钮 返回 “好 友 号 好 好 资 ” 主 窗口 ， 即 可 看 到 选择 的 图 片 和 指定 保存 的 文件 名 ， 如 图 13-11 所 示 。 单 
击 “ 生 成 木马 ”按钮 ， 即 可 打开 “木马 生成 成 功 ” 提 示 框 ， 如 图 13-12 所 示 。 在 其 中 即 可 看 到 生成 木马 的 保存 位 置 和 名 称 。 


步骤 05: 蛙 击 “确定 ”按钮 即 可 。 此 时 就 可 以 将 生成 的 木马 友 给 聊天 的 好 友 了 ， 还 可 以 设置 运行 的 次 数 和 强制 关闭 对 方 QQ 的 时 


提示 


如 果 对 选择 图 片 和 具体 操作 不 熟悉 ， 也 可 以 单 击 “ 我 比较 懒 ” 按 钳 使 用 软件 自 带 的 图 片 ， 每 一 步 都 会 有 提示 。 
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图 13-10 “你 要 将 木马 放 在 哪 ? ”对 话 框 
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图 13-12 “木马 生成 成 功 ” 提 示 框 


当 对 方 接收 到 市 木马 的 文件 之 后 ， 最 好 和 上 自己 的 好 友 继 续 聊 天 ， 如 果 友 现 对 方 突然 下 线 ， 则 可 能 是 木马 已 经 起 作用 了 。 等 对 方 再 


次 上 线 之 后 ， 表 发 个 信息 过 去 ， 让 对 方 回信 息 。 如 果 没 有 直到 问题 ， 对 方 的 QQ 号 码 和 密码 便 会 通过 QQ 信息 友 送 过 来 。 


13.3 ”防范 QQExplorer 在 线 破解 QQ 号 码 


QQ 在 即时 通信 和 领域 中 占有 举足轻重 的 地 位 ， 因 此 ，QQ 的 安全 一 直 是 大 家 最 头疼 的 问题 ， 稍 有 不 愤 ， 用 户 的 QQ 玖 拱手 让 人 了 ， 
即使 随时 都 注意 了 QQ 的 安全 ， 但 对 于 QQ 在 线 破解 却 也 是 防不胜防 了 。 


1331 在 线 破解 QQ 号 人 码 曝 光 

QQExplorer 是 一 款 黑 客 常用 的 在 线 破解 QQ 密码 的 工具 ， 它 功能 强大 ， 设 置 简 便 。 可 以 从 网 上 下 载 该 软件 ， 使 用 它 在 线 破解 QQ 
的 具体 操作 步骤 如 下 。 

步骤 01: 下 载 并 解压 QQExplorer 压 缩 包 ， 双 击 QQExplorer 应 用 程序 图 标 ， 即 可 打开 QQExplorer 主 界面 ， 如 图 13-13 所 示 。 


步骤 02: 在 “起 始 号 码 ” 和 “结束 号 码 ” 文 本 框 中 填写 要 盗 取 的 QQ 号 码 (此 号 码 必须 在 线 ) ， 在 “添加 或 删除 HTTP 代 理 服 务 
器 ”栏目 中 输入 代理 服务 器 的 IP 地 址 和 端口 号 码 (如 果 嫌 寻找 QQ 代理 服务 器 列表 麻烦 ， 则 可 使 用 一 些 现成 的 QQ 代理 公布 软件 ) 。 


步骤 03: 单 击 “添加 & 测 试 ”按钮 目 动 检测 此 服务 器 是 人 否 正 常 ， 确 定 后 将 把 它 加 入 代理 服务 器 列表 (可 填 入 多 个 代理 服务 器 的 地 
址 ， 且 自动 筛选 不 可 用 或 速度 慢 的 服务 器 ) ， 如 图 13-14 所 示 。 


步骤 04: 单 击 “开始 ”按钮 ， 即 可 开始 在 线 密码 破解 ， 如 图 13-15 所 示 。 还 可 以 设置 为 “开机 自动 运行 ” 且 设 置 呼出 热 键 ,默认 
设置 为 Shift+Ctrl+F1 组 合 键 〈 一 定 要 记 好 这 个 热 键 ， 人 否则 开机 目 动 运行 该 热 键 后 ， 将 无 法 打开 程序 运行 界面 ) 。 
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图 13-15 ДАК 


13.3.2 QQExplorer 在 线 破 解 防 汇 

QQExplorer 在 线 破解 改变 了 本 地 破解 那 种 被 动 的 破解 方式 ， 只 要 是 在 线 的 QQ 号 码 都 可 以 破解 ， 适 用 范围 较 广 ， 因 此 一 定 要 防 
范 。 由 于 它 仍然 采用 穷 举 法 技术 ， 所 以 在 枚 举 密 钥 位 数 长 度 以 及 类 型 时 ， 校 验 时 间 很 长 ， 破 解 效率 却 不 高 。 

这 种 方法 还 受到 计算 机 速度 、 网 速 等 诸多 因 末 的 影响 ， 比 本 地 破解 更 慢 、 更 麻烦 。 因 此 ， 对 于 这 种 破解 方式 ， 设 置 足 够 复杂 的 密 
码 是 一 个 非常 有 效 的 预防 手段 。 
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前 面 介 绍 了 黑客 经 常 使 用 的 一 些 次 取 QQ 密 码 的 “武器 ”， 并 给 出 了 具体 的 防范 方法 ， 这 里 再 介绍 一 款 防盗 专家 : “QQ 密码 防盗 
专家 ”， 让 用 户 进行 QQ 聊天 从 此 无 忧 。 


1341 关闭 广 告 和 取 回 QQ 密码 


从 网 站 下 载 “QQ 密码 防盗 专家 ”软件 后 ， 双 击 qqpc.exe 程 序 ， 指 定安 六 路 径 ， 即 可 将 “QQ 密码 防盗 专家 ”程序 安 闪 到 系统 
中 。 进 入 “QQ 密码 防盗 专家 ”的 安装 文件 夹 ， 双 击 “QQ 密 码 防 盗 专 家 ”图 标 ， 即 可 进入 其 操作 界面 ， 如 图 13-16 所 示 。 
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图 13-16 “QQ 密码 防盗 专家 ”界面 


1) 关闭 广告 。 如 果 想 使 QQ 中 的 无 线 QQ 使 用 向导 、 腾 讯 QQ 系 统 广 播 、 腾 讯 Flash 动 画 、QQ 友 送信 息 中 的 动画 广告 不 再 出 现 ， 
可 在 “QQ 密码 防盗 专家 ”界面 中 选择 “ 主 窗 体 ”按钮 ， 然 后 同时 选取 “ 目 动 关闭 QQ 中 的 [无 线 QQ 使 用 向 导 ] 广 告 ”、“ 目 动 关闭 QQ 
中 的 [腾讯 QQ 系统 广播 广告 ”、“ 目 动 天 闭 QQ 中 的 [腾讯 Flash 动 画 ] 广 告 ”、“ 目 动 关 闭 [ 友 送 消息 ] 中 的 [动画 广告 ] БЕ, ШЕ 
13-17 所 示 。 同 时 ， 用 户 还 可 以 选取 “后 台 目 动 天 闭 IE 浏 览 器 弹出 的 广告 窗口 ” 复 选 框 ， 来 阻止 IE 浏览 器 中 的 弹出 式 广 告 。 


2) 取 回 密码 。 在 “QQ 密码 防 资 专家 ”界面 中 单 击 “ 取 回 密码 ”按钮 ， 即 可 使 用 不 同 的 方式 取 回 目 己 遗 朱 的 QQ 密码 ， 如 图 13- 
18 所 示 。 该 功能 只 作为 志 记 密码 时 取 回 使 用 ,但 为 了 防止 他 人 随意 取 回 密码 ， 它 将 取 回 的 密码 中 前 两 位 数 均 用 “*” 号 代替 ， 且 没有 
注册 的 用 户 只 能 找 回 最 后 一 次 上 绪 的 QQ 用 户 及 密码 。 只 有 注册 用 户 才 能 享受 本 机 任意 密码 的 取 回 功能 。 


如 单 击 “ 所 有 密码 ”按钮 ， 则 可 先 输入 注册 “QQ 密码 防盗 专家 ”的 用 户 名 和 注册 码 。 单 击 “ 取 回 ” 按 钮 ， 即 可 得 到 在 本 机 中 登 
录 过 的 所 有 QQ 密码 ， 如 图 13-19 所 示 。 


如 果 QQ 密 码 已 被 别人 穷 取 ， 则 可 单 击 “邮箱 取 回 ”按钮 ， 通 过 该 功能 可 以 找 回 目 己 被 供 走 的 QQ 密码 ， 而 且 距 离 被 俐 的 时 间 越 近 
越 容易 找 回 ， 如 图 13-20 所 示 。 
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913-18 ” 取 回 密码 界面 
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913-20 ”设置 邮箱 取 回 功能 


在 “ 取 回 密码 ”窗口 中 ， 还 可 以 通过 选取 “禁止 使 用 “文件 下 载 ”、“ 禁 止 使 用 “注册 表 ",. “实时 监控 禁止 用 户 删 除 任何 
文件 及 文件 夹 ” 复 选 框 来 启动 相应 功能 。 


1342 ”内 核 修改 和 病毒 查 杀 


为 了 防止 最 新 次 密 软 件 通过 对 QQ 界面 中 的 回 车 键 及 鼠标 按键 进行 记录 来 取得 QQ 密码 ， 用 户 可 以 在 QQ 密码 防盗 专家 原 有 的 防盗 
方式 上 上 自己 设 定 快捷 键 来 进行 登录 ， 因 为 是 用 户 随 机 设 定 的 功能 键 进行 登录 ， 因 此 可 以 绕 过 盗 密 软 件 对 回 车 键 及 妃 标 按键 的 检测 。 用 
法 是 在 输入 完成 密码 之 后 ， 骨 按 快捷 键 ， 而 不 要 按 回 车 键 或 单 击 鼠 标 ， 这 就 是 “内 核 修改 ”功能 。 在 “QQ 密码 防盗 专家 ”界面 中 蛙 
击 “内 核 修改 ”按钮 ， 即 可 通过 内 核 修 改 功 能 来 防止 QQ 密码 被 次 ， 如 图 13-21 所 示 。 


可 以 选取 “每 次 司 动 后 隐藏 主 窗 口 〈 可 用 Ctrl+F6 快 捷 键 ) ” 复 选 框 来 隐藏 局 动 后 的 “QQ 密码 防 咨 专家” 窗口， 选取 “修改 QQ 
界面 系统 内 核 (可 起 到 全 面 防 咨 作用， 推荐 ) ” 复 选 框 ， 并 设置 快捷 键 来 登录 QQ， 从 而 起 到 防盗 的 作用 。 


选取 “ 当 用 户 按 下 快捷 键 登录 时 ， 先 隐藏 QQ 密码 框 2 秒 钟 ” 复 选 框 ， 还 可 以 增强 QQ 密码 防盗 的 功能 。 大 选取 “去 挥 QQ 浏 哆 器 
并 还 原 成 IE 浏 览 器 万 式 亲 开 网 页 ” 复 选 框 ， 则 可 默认 使 用 IE 亲 开 网 页 ， 而 不 使 用 腾讯 公司 的 TM 浏 哆 器 。 


在 “QQ 密码 防盗 专家 ”界面 中 ， 单 击 “QQ 病 毒 专 杀 ”按钮 ， 在 显示 的 菜单 中 选择 一 种 杀毒 万 式 ， 如 图 13-22 所 示 。 选 取 “ 免 费 
杀毒 (免费 版 ) ” 荣 单 项 ， 则 进入 病毒 吾 杀 窗口 ， 如 图 13-23 所 示 。 单 击 “ 绝 对 得 杀 (推荐 使 用 ) ”按钮 ， 则 显示 更 多 病毒 但 杀 功 
能 ， 如 图 13-24 所 示 。 在 这 里 用 户 可 以 实现 系统 进程 管理 、 注 册 表 管理 、 设 置 防火 场 、 扫 摘 闯 口 、 修 复 系统 漏洞 、 至 杀 系 统 木 马 、 病 

多 种 功能 。 
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图 13-21 使 用 内 核 修改 功能 
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1343 ВУНЕ 


使 用 QQ 无 政 外 挂 模式 可 以 不 在 QQ 用 户 登 录 界 面 中 输入 密码 ， 只 在 “QQ 密码 防盗 专家 ”中 输入 QQ 密码 即 可 实现 自行 登录 ， 这 
时 QQ 的 登录 过 程 是 在 内 存 中 进行 的 ， 而 QQ 密码 框 中 的 密码 实际 上 是 假 密码 ， 则 无 论 什 么 QQ 盗 密 软件 都 无 法 盗 取 用 户 的 QQ 密码 


p 
具体 的 操作 步骤 如 下 。 


步骤 01: 在 “QQ 密码 防盗 专家 ”界面 中 单 击 “ 无 政 外 挂 ”按钮 ， 即 可 弹出 如 图 13-25 所 示 窗 口 。 单 击 “ 第 1 步 (输入 ) ”按钮 ， 
在 其 中 输入 目 己 的 QQ 号 码 和 登录 密码 。 
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步骤 02: Sub "53225 (测试 ) ”按钮 ， 即 可 启动 QQ 并 使 用 先前 设置 的 QQ 号 码 和 登录 密码 进行 登录 。 若 登录 成 功 ， 则 表示 通过 
测试 ， 若 不 能 成 功 登 录 ， 则 需要 重新 设置 QQ 号 码 和 登录 密码 。 通 过 测试 后 ， 单 击 “ 第 3 步 (Ж) ”按钮 ， 将 设置 结果 保存 下 来 。 


步骤 03: 单 击 “第 4 步 (Е) ”按钮 ， 指 定 QQ 程 序 的 安 委 路 径 并 进行 绑 定 。 在 “QQ 密码 防盗 专家 ”界面 中 单 击 “ 无 政 外 
挂 ”按钮 ， 选 取 “ 局 用 QQ 密码 保护 乙 无 政 模式 ” 复 选 框 ， 并 在 “输入 QQ 密码 ”文本 框 中 输入 绑 定 的 假 QQ 号 码 ， 如 图 13-26 所 示 。 
单 击 “QQ 无 政 登 录 ” 按 钮 ， 即 可 使 用 假 QQ 号 码 进 行 登录 。 
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913-26 ”使 用 无 敌 模式 


还 可 以 在 “无 政 外 挂 ” 界 面 中 使 用 自动 申请 QQ 号 码 功 能 来 为 自己 申请 免费 的 QQ 号 码 。 


13.5 ”保护 QQ 密码 和 聊天 记录 


平时 我 们 经 常会 听 说 他 人 的 QQ 号 码 锐 人 次， 更 不 斑 的 是 目 己 的 QQ 号 码 也 被 次 了 。 一 旦 QQ 号 码 被 次 ， 束 可 能 导致 一 些 重 要 的 信息 
泄露 ， 从 而 造成 一 定 程度 的 损失 。 那 么 用 户 就 应 该 采取 一 些 有 效 措施 防止 目 己 的 QQ 密码 港 露 。 


13.5.1 定期 修改 QQ 密码 


QQ 密码 使 用 时 间 过 长 ， 束 会 很 容易 被 他 人 破译 ， 所 以 为 了 避免 这 后， 定期 修改 QQ 密码 很 必要 ，。 
修改 QQ 密码 需要 进行 以 下 操作 。 


步骤 01: 登录 QQ 后 ， 在 QQ 主 界面 左下 角 单 击 “ 主 荣 单 ”图 标 ， 在 打开 的 菜单 中 单 击 “ 修 改 密码 ”， 如 图 13-27 所 示 。 


步骤 02: 此 时 会 在 网 页 中 打开 修改 密码 页 面 ， 根 据 提示 填写 相关 信息 ， 填 写 完成 后 单 击 “ 确 定 ” 按 钮 ， 如 图 13-28 所 示 。 
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图 13-28 ”修改 密码 页 面 


步骤 03: 此 时 会 弹出 QQ 密码 修改 成 功 提示 信息 ， 如 图 13-29 所 示 。 并 且 此 时 由 于 修改 了 QQ 密码 而 强制 下 线 ， 需 要 重新 登录 
QQ,， 如 图 13-30 所 示 。 单 击 “ 重 新 登录 ”按钮 ， 会 弹出 “重新 登录 ”对 话 框 ， 此 时 输入 新 修改 的 密码 ， 单 击 “ 登 录 ” 按 钮 即 可 重新 
登录 QQ， 如 图 13-31 所 示 。 
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图 13-31 “重新 登录 ХЕ 


13.5.2 加密 聊天 记录 

在 日 常 聊 天 时 ， 有 时 候 难以 避免 涉及 一 些 个 人 隐私 信息 ， 但 是 如 果 QQ 聊 天 记录 没有 加 密 ， 这 些 隐私 信息 就 很 有 可 能 泄露 。 因 此 
需要 启用 聊天 记录 加 密 功能 ， 防 患 于 未 然 。 

启用 加 密 功能 需要 进行 以 下 操作 。 


步骤 01: 登录 QQ 后 ， 在 QQ 主 界面 左下 角 单 击 “ 系 统 设 置 ”图 标 ， 如 图 13-32 所 示 。 
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913-32 单 击 系 统 设置 


步骤 02: 在 打开 的 “系统 设置 ”对 话 框 中 依次 选择 “安全 设置 ”一 “消息 记录 ”， 如 图 13-33 所 示 。 
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图 13-33 “系统 设置 ”对 话 框 


步骤 03: 选择 “启用 消息 记录 加 密 ”选项 ， 此 时 会 出 现 口令 输入 文本 框 ， 输 入 口令 后 为 了 防止 遗忘 可 继续 选择 “启用 加 密 口令 提 
示 ”， 如 图 13-34 所 示 。 填 写 完成 后 直接 关闭 “系统 设置 ”对 话 框 即 可 设置 成 功 。 再 次 登录 QQ 时 ， 输 入 QQ 密码 后 单 击 “ 登 录 ”， 会 
弹出 一 个 对 话 框 提示 输入 消息 密码 ， 如 图 13-35 所 示 。 此 时 需要 输入 正确 的 消息 密码 ， 单 击 “ 确 定 ”按钮 才能 成 功 登录 QQ.。 
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图 13-34 ”启用 消息 记录 加 密 


113-35 ”输入 消息 密码 


135.3 ”申请 QQ 密 保 
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目 己 的 QQ 或 者 重 置 密码 。 
申请 QQ 密 保 需 要 进行 以 下 操作 。 


步骤 01: 登录 QQ 后 ， 在 QQ 主 界面 左下 角 单 击 “ 主 菜单 ”图 标 ， 依 次 选择 “安全 中 心 ”一 “申请 密码 保护 ”， 如 图 13-36 所 示 。 


图 13-36 QQ i Fm 


步骤 02: 此 时 会 在 网 页 中 打开 “ 密 保 工具 ”页 面 ， 有 密 保 手机 、QQ 令 牌 、 密 保 问题 等 可 供 选 择 。 此 处 以 密 保 问题 为 例 进行 讲 
解 ， 如 图 13-37 所 示 。 
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图 13-37 “ 密 保 工具 ”页 面 


步骤 03: 单 击 “ 立 即 设置 ”按钮 ， 可 进入 密 保 问题 填写 页 面 ， 此 处 有 多 个 密 保 问题 可 供 选 择 ， 选 择 好 密 保 问题 并 填 好 答案 后 ， 单 
“下 一 步 按钮 ， 如 图 13-38 所 示 。 


步骤 04: 此 时 会 出 现 确认 密 保 信息 页 面 ， 根 据 上 一 步 填写 的 问题 输入 对 应 的 答案 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 如 图 13-39 所 示 。 
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913-358 ” 密 保 问题 填写 页 面 
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步骤 05: 出 现 绑 定 密 保 手机 页 面 ， 输 入 绑 定 QQ 号 码 的 手机 号 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 13-40 所 示 。 


步骤 06: 成 功 设置 密 保 问题 和 和 密 保 手 机 ， 如 图 13-41 所 示 。 
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第 14 章 ”系统 和 数据 的 备份 与 恢复 工具 


当 用 户 日 剃 浏览 网 页 、 下 载 工 具 时 ， 有 时 会 遇 到 一 些 病毒 、 木 马夹 市 在 其 中 ， 对 系统 造成 伤害 而 使 其 无 法 正常 使 用 。 如 果 提前 对 
系统 和 数据 做 好 备份 ， 在 这 时 就 可 以 及 时 地 进行 恢复 操作 ， 从 而 避免 不 必要 的 损失 。 


Жаа; 
备份 与 还 原 操作 系统 
备份 与 还 原 用 户 数据 


使 用 恢复 工具 来 恢复 误 删 除 的 数据 


141 备份 与 还 原 操 作 系 统 


14.1.1 ”使 用 还 原点 备份 与 还 原 系统 


Windows 系 统 内 置 了 一 个 系统 备份 和 还 原 模块 ， 这 个 模块 融 叫 做 还 原点 。 当 系统 出 现 问题 时 ， 可 先 通过 还 原点 兰 试 修复 系统 。 
(1) 创建 还 原点 


还 原点 在 Windows 系 统 中 是 为 保护 系统 而 创建 的 。 由 于 每 个 被 创建 的 还 原点 中 都 包含 了 该 系统 的 系统 设置 和 文件 数据 ， 所 以 用 
尸 完 全 可 以 使 用 还 原点 来 进行 备份 和 还 原 操作 系统 的 操作 。 现 在 束 介 绍 一 下 创建 还 原点 的 具体 操作 步骤 与 方法 。 


步骤 01: 石 击 桌面 上 的 “计算 机 ”图 标 ， 然 后 单 击 “ 属 性 ”， 如 图 14-1 所 示 。 


步骤 02: 在 打开 的 “系统 ”窗口 中 单 击 左 侧 的 “高 级 系统 设置 ”链接 ， 如 图 14-2 所 示 。 


图 14-1 “计算 机 ”图 标 
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图 14-2 “系统 ”窗口 


步骤 03: 在 打开 的 “系统 属性 ”对 话 框 中 选择 “系统 保护 ”标签 ,在 “系统 保护 ”窗口 中 单 击 “创建 ”按钮 ， 如 图 14-3 所 示 。 


步骤 04: 在 打开 的 “系统 保护 ”对 话 框 中 输入 还 原点 摘 述 ， 然 后 单 击 “ 创 建 ”按钮 ， 如 图 14-4 所 示 。 


278805: 此 时 会 出 现 正在 创建 还 原点 进度 条 ， 如 图 14-5 所 示 。 等 待 片 刻 还 原点 创建 完成 后 会 提示 “已 成 功 创建 还 原点 ”， 如 医 
14-6Ff 7. 


提示 


在 Windows 系 统 中 ， 还 原点 虽然 默认 只 备份 系统 安装 所 在 盘 的 数据 ， 但 用 户 也 可 通过 设置 来 备份 非 系统 盘 中 的 数据 。 只 是 由 于 非 
系统 盘 中 的 数据 过 多 ， 使 用 还 原点 备份 时 要 保证 计算 机 中 有 足够 的 磁盘 空间 。 
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图 14-3 “系统 属性 ”对 话 框 
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4144 “系统 保护 ”对 话 框 


图 14-6 ”已 成 功 创建 还 原点 


(2) 使 用 还 原点 


成 功 创建 还 原 后 后 ， 系 统 遇 到 问题 时 束 可 通过 还 原点 来 还 原 系 统 ， 从 而 对 系统 进行 恢复 。 现 在 丈 详 细 介 绍 一 下 还 原点 的 具体 使 用 
方法 和 步骤 。 


步骤 01: 在 “系统 属性 ”对 话 框 的 “系统 保护 ”标签 中 单 击 “ 系 统 还 原 ” 按 钮 ， 如 图 14-7 所 示 。 


步骤 02: 弹出 “系统 还 原 ” 对 话 框 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 14-8 所 示 。 
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步骤 03: 在 打开 的 对 话 框 中 根据 日 期 、 时 间 选 取 还 原点 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 14-9 所 示 。 
步骤 04: 在 弹出 的 “确认 还 原点 ”对 话 框 中 再 确认 一 遍 还 原点 ， 以 免 选择 了 错误 的 还 原点 。 确 认 信息 后 单 击 “ 完 成 ”按钮 ， 如 图 


14-10 所 泵 。 
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图 14-10 确认 还 原点 


步骤 05: 此 时 会 出 现 “ 局 动 后 ， 系 统 还 原 不 能 中 断 ， 您 希望 继续 吗 ? ”提示 ， 单 击 “ 是 ”按钮 ， 如 图 14-11 所 示 。 
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MA 
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Д 启动 后 ， 系 统 还 原 不 能 中 断 。 您 希望 继续 吗 ? 
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图 14-11 提示 信息 


步骤 06: 出 现 “ 正 在 准备 还 原 系统 ”提示 ， 如 图 14-12 所 示 。 


步骤 07: 稍 等 片刻 ,计算机 将 会 还 原 Windows 文 件 和 设置 ， 并 且 重 新 启动 计算 机 ， 如 图 14-13 所 示 。 


步骤 08: 计算 机 重新 局 动 后 ， 会 弹出 “系统 还 原 已 成 功 完 成 ”提示 ， 此 时 日 击 “ 关 闭 ” 按 钮 ， 即 可 完成 系统 还 原 操作 ， 如 图 14- 
14 所 示 。 
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图 14-12 “正在 准备 还 原 系统 提示 


图 14-13 ЕХ Windows X fF fe iX. É. 


914-14 ”系统 还 原 完成 


141 备份 与 还 原 操 作 系统 


14.1.1 ”使 用 还 原点 备份 与 还 原 系统 


Windows 系 统 内 置 了 一 个 系统 备份 和 还 原 模块 ， 这 个 模块 就 叫做 还 原点 。 当 系统 出 现 问题 时 ， 可 先 通过 还 原点 尝试 修复 系统 。 
(1) 创建 还 原点 


还 原点 在 Windows 系 统 中 是 为 保护 系统 而 创建 的 。 由 于 每 个 被 创建 的 还 原点 中 都 包含 了 该 系统 的 系统 设置 和 文件 数据 ， 所 以 用 
尸 完 全 可 以 使 用 还 原点 来 进行 备份 和 还 原 操作 系统 的 操作 。 现 在 束 介 绍 一 下 创建 还 原点 的 具体 操作 步骤 与 方法 。 


步骤 01: 石 击 桌 面 上 的 “计算 机 ”图 标 ， 然 后 单 击 “ 属 性 ”， 如 图 14-1 所 示 。 


步骤 02: 在 打开 的 “系统 ”窗口 中 单 击 左 侧 的 “高 级 系统 设置 ”链接 ， 如 图 14-2 所 示 。 


图 14-1 “计算 机 ”图 标 


Windows 版 本 


版 权 所 有 © 2009 Microsoft ( 
Service Pack 1 


图 14-2 “系统 ”窗口 


步骤 03: 在 打开 的 “系统 属性 ”对 话 框 中 选择 “系统 保护 ”标签 ,在 “系统 保护 ”窗口 中 单 击 “创建 ”按钮 ， 如 图 14-3 所 示 。 


步骤 04: 在 打开 的 “系统 保护 ”对 话 框 中 输入 还 原点 摘 述 ， 然 后 单 击 “ 创 建 ”按钮 ， 如 图 14-4 所 示 。 


278805: 此 时 会 出 现 正在 创建 还 原点 进度 条 ， 如 图 14-5 所 示 。 等 待 片 刻 还 原点 创建 完成 后 会 提示 “已 成 功 创建 还 原点 ”， 如 医 
14-6Ff 7. 


提示 


在 Windows 系 统 中 ， 还 原点 虽然 默认 只 备份 系统 安装 所 在 盘 的 数据 ， 但 用 户 也 可 通过 设置 来 备份 非 系统 盘 中 的 数据 。 只 是 由 于 非 
系统 盘 中 的 数据 过 多 ， 使 用 还 原点 备份 时 要 保证 计算 机 中 有 足够 的 磁盘 空间 。 
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图 14-3 “系统 属性 ”对 话 框 
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4144 “系统 保护 ”对 话 框 


图 14-6 ”已 成 功 创建 还 原点 


(2) 使 用 还 原点 


成 功 创建 还 原 后 后 ， 系 统 遇 到 问题 时 束 可 通过 还 原点 来 还 原 系 统 ， 从 而 对 系统 进行 恢复 。 现 在 丈 详 细 介 绍 一 下 还 原点 的 具体 使 用 
方法 和 步骤 。 


步骤 01: 在 “系统 属性 ”对 话 框 的 “系统 保护 ”标签 中 单 击 “ 系 统 还 原 ” 按 钮 ， 如 图 14-7 所 示 。 


步骤 02: 弹出 “系统 还 原 ” 对 话 框 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 14-8 所 示 。 
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步骤 03: 在 打开 的 对 话 框 中 根据 日 期 、 时 间 选 取 还 原点 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 14-9 所 示 。 
步骤 04: 在 弹出 的 “确认 还 原点 ”对 话 框 中 再 确认 一 遍 还 原点 ， 以 免 选择 了 错误 的 还 原点 。 确 认 信息 后 单 击 “ 完 成 ”按钮 ， 如 图 


14-10 所 泵 。 
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图 14-10 确认 还 原点 


步骤 05: 此 时 会 出 现 “ 局 动 后 ， 系 统 还 原 不 能 中 断 ， 您 希望 继续 吗 ? ”提示 ， 单 击 “ 是 ”按钮 ， 如 图 14-11 所 示 。 
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zh. 本 地 磁盘 МЕШЕЛ 


Д 启动 后 ， 系 统 还 原 不 能 中 断 。 您 希望 继续 吗 ? 


ВНЕ ВЕРА ЧУВА, СЕНА И. Шыныға SEM. "БЫЛА" Бе 
зала ТЗ ЮМЫН, ПАСЕ, 


к=, m 


图 14-11 提示 信息 


步骤 06: 出 现 “ 正 在 准备 还 原 系统 ”提示 ， 如 图 14-12 所 示 。 


步骤 07: 稍 等 片刻 ,计算机 将 会 还 原 Windows 文 件 和 设置 ， 并 且 重 新 启动 计算 机 ， 如 图 14-13 所 示 。 


步骤 08: 计算 机 重新 局 动 后 ， 会 弹出 “系统 还 原 已 成 功 完 成 ”提示 ， 此 时 日 击 “ 关 闭 ” 按 钮 ， 即 可 完成 系统 还 原 操作 ， 如 图 14- 
14 所 示 。 
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图 14-12 “正在 准备 还 原 系统 提示 


图 14-13 ЕХ Windows X fF fe iX. É. 
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914-14 ”系统 还 原 完成 


14.1.2 ”使 用 GHOST 备 份 与 还 原 系统 


Ghost 全 名 是 Norton Ghost (诺顿 克隆 精灵 Symantec General Hardware Oriented System Transfer) ， 它 是 美国 赛 门 铁 克 
公司 开发 的 一 款 硬 盘 备 份 还原 工 具 。Ghost 可 以 实现 FAT16、FAT32、NTFS、O32 等 多 种 硬盘 分 区 格式 的 分 区 及 硬盘 的 备份 还 原 。 在 
这 些 功能 中 ， 数 据 备份 和 备份 恢复 的 使 用 频率 特 高 ， 也 是 用 户 非 钊 热衷 的 备份 还 原 工 具 。 


(1) 认识 GHOST 操作 界面 


GHOST 的 操作 界面 非 弟 简洁 实用 ,用户 从 菜单 的 名 称 上 基本 就 可 以 了 解 该 软件 的 使 用 方法 ， 如 图 14-15 所 示 。GHOST 操 作 界 面 
常用 英文 菜单 命令 代表 的 含义 ， 如 表 14-1 所 示 。 


914-15 GHOST 操作 界面 


表 14-1 GHOST 操作 界面 常用 英文 菜单 命令 含义 


命令 名 称 е X 
Local 本 地 操作 ， 对 本 地 计算 机 的 硬盘 进行 操作 

Peer to peer 通过 点 对 点 模式 对 网 络 上 计算 机 的 人 硬盘 进行 操作 
Options 使 用 GHOST 需 设 置 的 一 些 选 项 ， 使 用 默认 设置 即 可 
Help 使 用 帮助 

Quit 退出 GHOST 

Disk 磁盘 

Partition 磁盘 分 区 

To Partition 将 一 个 分 区 直接 复制 到 男 一 个 分 区 

To Image 将 一 个 分 区 备份 为 镜像 文件 

From Image 从 镜像 文件 恢复 分 区 ， 即 将 备份 的 分 区 还 原 


(2) 使 用 GHOST 备份 系统 


使 用 GHOST 备份 系统 是 指 将 操作 系统 所 在 的 分 区 制作 成 一 个 GHO 镜 像 文件 。 备 份 时 必须 在 DOS 环 境 下 进行 ， 一 般 来 说 ， 目 前 的 
GHOST 都 会 自动 安装 局 动 菜单 ， 因 此 残 不 需要 再 企 局 动 时 插入 光盘 来 3| 导 了。 现在 就 详细 介绍 一 下 使 用 GHOST 备份 系统 的 具体 使 用 
方法 和 步骤 。 


步骤 01: 安装 GHOST 后 重启 计算 机 ， 进 入 开机 局 动 菜单 后 在 键盘 上 按 “14” 键 选择 “一 键 GHOST”， 然 后 按 回 车 键 ， 如 图 14-16 
Ет» 


步骤 02: 进入 “一 键 GHOST 主 菜单 ”界面 后 ， 可 通过 键盘 上 的 上 下 左右 方 同 键 选择 “一 键 备份 系统 ”选项 ， 然 后 按 回 车 键 ， 如 
图 14-17 所 示 。 
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图 14-16 ”开机 启动 菜单 
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图 14-17 “一 键 GHOST 主 菜单 ”界面 
步骤 03: 成 功 运行 GHOST 后 ， 该 程序 将 会 弹出 一 个 局 动画 面 ， 单 击 OK 按 钮 即 可 继续 操作 ， 如 图 14-18 所 示 。 


步骤 04: 在 GHOST 主 界面 中 单 击 Local 一 Partition 一 To Image 命令， 如 图 14-19 所 示 。 


Symantec Ghost 11.0.2 Corporate Edition 
Symantec Corporation 


Symantec Logo are trademarks or registered trademarks of Symantec Corporation 
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914-19 ”GHOST 主 界面 


步 又 05: 进入 选择 硬盘 界面 后 ， 保 持 默 认 的 硬盘 然后 单 击 OK 按 钮 ， 如 图 14-20 所 示 。 


步骤 06: 进入 选择 分 区 界面 后 ， 可 利用 键盘 上 的 方向 键 选择 操作 系统 所 在 的 分 多， 此 处 选择 分 区 1， 单 击 OK 按钮 ， 如 图 14-21 所 


步骤 07: 进入 备份 文件 保存 界面 后 ， 选 择 备 份 文件 的 存放 路 径 并 输入 文件 名 称 ， 然 后 单 击 Save 按 钮 ， 如 图 14-22 所 示 。 


步骤 08: 选择 备份 方式 ， 如 果 需 要 快速 备份 则 单 击 Fast 按 钮 ， 如 图 14-23 所 示 。 


914-20 ”选择 硬盘 界面 


图 14-21 ”选择 分 区 界面 
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图 14-22 ”备份 文件 保存 界面 


Туре:7 LHTF51, 21965 HE, 2364 HB used, 
from Local drive [1], 40960 НВ 
Local file 1.3:^ир.6Н0 


> 


14-23 ”选择 备份 方式 


步骤 09: 弹出 对 话 框 询 问 用 户 是 否 进 行 备份 ， 单 击 Yes 按 钮 ， 如 图 14-24 所 示 。 


步骤 10: 系统 开始 备份 ， 可 查看 到 进度 条 ， 如 图 14-25 所 示 ， 耐 心 等 待 即 可 。 


Турес? LNTFS]; 21885 HE, 2364 HB used, 
from Local drive [1], 40960 НВ 
Local file ETT RAI 


Туре:7 LNTFS], 21885 НВ, 2364 HB used, 
from [оса drive [1], 40960 ВВ 
Local file 1.3 А нр.6НО 


# 14-25 ”系统 开始 备份 


ЖЕТІ 备份 完成 后 会 出 现 提 示人 信息 ， 单 击 Continue 按 钮 后 重启 计算 机 即 可 ， 如 图 14-26 所 示 。 


Tupe:? LNIFS], 21885 НВ, 2364 HB used, 
from оса! drive L11, 40960 НЕ 
Local file 1.3:\хр.БНй 


Е 


914-26 ”备份 完成 


(3) 使 用 GHOST 还 原 系统 


使 用 GHOST 备份 操作 系统 以 后 ， 当 遇 到 分 区 数据 被 破坏 或 数据 丢失 等 情况 时 ， 融 可 以 通过 GHOST 和 镜像 文件 快速 地 将 分 区 还 


。 现 在 就 详细 介绍 一 下 使 用 GHOST 还 原 系统 的 具体 使 用 方法 和 步骤 。 


步骤 01: 进入 GHOST 主 界面 后 ， 单 击 Local 一 Partition 一 From Image 人 命令， 如 图 14-27 所 示 。 


步骤 02: 进入 选择 镜像 文件 界面 后 ， 选 择 要 还 原 的 GHOST 镜像 文件 ， 然 后 单 击 Open 按 钮 ， 如 图 14-28 所 示 。 
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图 14-28 ”选择 镜像 文件 界面 


步骤 03: 确认 备份 文件 中 的 分 区 信息 后 ， 单 击 OK 按 钮 ， 如 图 14-29 所 示 。 


步骤 04: 由 于 计算 机 只 接 入 了 一 个 硬盘 ， 保 和 存 默 认 设 置 即 可 ， 然 后 单 击 OK 按 钮 ， 如 图 14-30 所 示 。 


图 14-29 ”确认 备份 文件 中 的 分 区 信息 


图 14-30 ”选择 硬盘 


步骤 05: 选择 要 还 原 的 分 区 ， 然 后 单 击 OK 按钮 ， 如 图 14-31 所 示 。 


步骤 06: 确认 之 前 选择 的 硬盘 以 及 分 区 无 误 后 单 击 OK 按 钮 ， 如 图 14-32 所 示 。 
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图 14-31 选择 要 还 原 的 分 区 
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from Local drive [1], 40960 МВ 
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图 14-32 ”确认 信息 
步骤 07: GHOST 开始 还 原 磁 盘 分 区 并 显示 进度 条 ， 如 图 14-33 所 示 ， 了 耐心 等 竺 即 可 。 


步骤 08: 还 原 成 功 后 会 出 现 提 示 信 息 ， 单 击 Reset Computer 重 启 计算 机 即 可 ， 如 图 14-34 所 示 。 


Туре:? [NTFS], ë# 1885 ИВ, 2364 HB used, Но name 
from Local file 1.3:Vap.6H0, 40960 HB 

Туре:? ПМТ], 216865 МЕ 

from Local drive [1], 40960 HE 
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图 14-33 ”还 原 磁盘 分 区 
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Туре:7 ГНТЕ51, 21885 НЕ, 2364 HB used, Мо пате 
from Local file 1.3} \нр.БНО, 40960 МВ 

Туре:? [NTFS], 21885 НВ 

from Lecal driwe [1], 40960 HB 


图 14-34 ”还 原 成 功 


142 备份 与 还 原 用 户 数 据 


14.2.1 使 用 “驱动 精灵 " 


“驱动 精灵 ”是 一 款 集 驱动 管理 和 硬件 检测 于 一 体 的 较为 专业 的 驱动 管理 和 维护 工具 。 “驱动 精灵 ”为 用 户 提 供 驱 动 备 份 、 恢 
复 、 安 装 、 删 除 、 在 线 更 新 等 实用 功能 ， 一 旦 出 现 异 常情 况 ，“ 驱 动 精 灵 ” 融 能 企 最 短 时 间 内 让 硬件 恢复 正音 运 行 。 


在 计算 机 重 妆 前 ， 将 目前 计算 机 中 的 最 新 版 本 驱动 程序 全 部 备份 下 来 ， 待 重 装 完成 时 ， 再 使 用 驱动 程序 的 还 原 功 能 安装 ， 这 样 ， 
便 可 以 节省 许多 安 委 驱 动 程序 的 时 间 ， 并 且 再 也 不 怕 找 不 到 驱动 程序 了 。 


(1) 使 用 “驱动 精灵 ”备份 驱动 程序 
现在 就 详细 介绍 一 下 使 用 “驱动 精灵 ”备份 驱动 程序 的 具体 使 用 方法 和 步骤 。 
步 又 01: 下 载 并 安 半 “驱动 精灵 ”后 ， 人 在 条 面 上 双击 “驱动 精灵 ” 图标， 进入 “驱动 精灵 ” 主 界面 ， 如 图 14-35 所 示 。 


步骤 02: 单 击 “ 驱 动 程序 ”图 标 ， 然 后 切换 到 “备份 还 原 ” 选 项 ， 在 页 面 下 方 单 击 “ 路 径 设 置 ”， 在 打开 的 “系统 设置 ”对 话 框 
中 可 设置 驱动 备份 路 径 ， 并 且 可 选择 “备份 驱动 到 文件 夹 ”还 是 “备份 驱动 到 Z1P 压 缩 文 件 ”， 设 定 完成 后 单 击 “ 确 定 ” 按 钮 ， 如 图 
14-36277. 
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图 14-35 “驱动 精灵 ” 主 界 面 
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914-36 “系统 设置 ”对 话 框 


КОЗ: 人 在 “备份 还 原 ” 页 面 可 以 看 到 ， 每 个 驱动 程序 右 侧 都 有 一 个 “备份 ”按钮 ， 单 击 即 可 直接 备份 。 如 果 想 要 一 次 性 全 部 备 
份 ， 可 勾 选 页 面 下 方 的 “全 选 ”， 然 后 单 击 “一 键 备份 ”按钮 ， 如 图 14-37 所 示 。 
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图 14-37 一 键 备份 


步骤 04: 如 果 之 前 已 经 备份 过 驱动 程序 ， 则 会 弹出 一 个 “ 营 告 ”对 话 框 ,提示 是 否 覆 苹 ， 根 据 需 要 选择 “是 ”或 者 “ 否 ”， 选 
择 “ 是 ” 则 会 覆 匡 原来 的 备份 文件 而 重新 进行 备份 ， 如 图 14-38 所 示 。 


& Intel(R) 82802 Firmware Hub Device 的 驱动 已 经 


uin lex. 


图 14-38 “警告 ”对 话 框 


步骤 05: 备份 完成 后 可 在 设 定 的 备份 路 径 中 得 看 已 经 备份 的 压缩 文件 ， 如 图 14-39 所 示 。 

(2) 使 用 “驱动 精灵 ”还 原 驱 动 程序 

备份 了 驱动 程序 后 ， 在 驱动 程序 去 失 、 损 坏 时 ， 残 可 以 通过 “驱动 精灵 ”来 还 原 所 有 驱动 程序 ， 从 而 恢复 正常 使 用 。 
接 下 来 束 详 细 介 绍 一 下 备份 使 用 “驱动 精灵 ”还 原 驱 动 程序 的 具体 操作 方法 和 步 又 。 


步骤 01: 在 “驱动 精灵 ”中 打开 “驱动 程序 ”界面 ， 并 切换 至 “备份 还 原 ” 选 项 卡 ， 该 界面 中 将 会 显示 已 经 备份 过 的 驱动 程序 ， 


勾 选 需要 还 原 的 驱动 程序 ， 然 后 单 击 “ 还 原 ” 按 钮 ， 即 可 将 驱动 程序 还 原 至 之 前 备份 时 的 状态 ， 如 图 14-40 所 示 。 
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图 14-40 “驱动 程序 界面 


步骤 02: 此 时 会 出 现 提 示人 信息， 重启 计算 机 才能 生效 ， 单 击 “ 重 新 启动” 按钮 ， 计 算 机 将 重新 启动 并 使 还 原 的 驱动 程序 生效 ， 如 
图 14-41 所 示 。 


91441 重 尼 提示 


142 ”备份 与 还 原 用 户 数据 


14.2.1 使 用 “驱动 精灵 ”备份 与 还 原 驱 动 程序 

“驱动 精灵 ”是 一 丈 集 驱动 管理 和 硬件 检测 于 一 体 的 较为 专业 的 驱动 管理 和 维护 工具 。 “驱动 精灵 ” 为 用 户 提 供 驱 动 备 份 、 恢 
复 、 安 疼 、 删 除 、 在 线 更 新 等 实用 功能 ， 一 旦 出 现 异 常情 况 ，“ 驱 动 精 灵 ” 融 能 企 最 短 时 间 内 让 硬件 恢复 正音 运 行 。 

在 计算 机 重 装 前 ,将 目前 计算 机 中 的 最 新 版 本 驱动 程序 全 部 备份 下 来 ， 待 重 装 完 成 时 ， 再 使 用 驱动 程序 的 还 原 功能 安装 ， 这 样 ， 
便 可 以 节省 许多 安 委 驱动 程序 的 时 间 ， 并 且 再 也 不 怕 找 不 到 驳 动 程序 了 。 

(1) 使 用 “驱动 精灵 ”备份 驱动 程序 

现在 就 详细 介绍 一 下 使 用 “驱动 精灵 ”备份 驱动 程序 的 具体 使 用 方法 和 步 又 。 

步骤 01: 下 载 并 安 半 “驱动 精灵 ”后 ， 人 在 条 面 上 双击 “驱动 精灵 ”图 标 ， 进 入 “驱动 精灵 ” 主 界面 ， 如 图 14-35 所 示 。 


步骤 02: 单 击 “ 驱 动 程序 ”图 标 ， 然 后 切换 到 “备份 还 原 ” 选 项 ， 在 页 面 下 方 单 击 “路 径 设 置 ”， 在 打开 的 “系统 设置 ”对 话 框 
中 可 设置 驱动 备份 路 径 ， 并 且 可 选择 “备份 驱动 到 文件 夹 ”还 是 “备份 驱动 到 Z1P 压 缩 文 件 ”， 设 定 完成 后 单 击 “ 确 定 ” 按 钮 ， 如 图 
14-36277. 
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914-35 “了 驱动 精灵 ” 主 界面 
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914-36 “系统 设置 ”对 话 框 


步骤 03: 在 “备份 还 原 ” 页 面 可 以 看 到 ， 每 个 驱动 程序 右 侧 都 有 一 个 “备份 ”按钮 ， 单 击 即 可 直接 备份 。 如 果 想 要 一 次 性 全 部 备 
份 ， 可 勾 选 页 面 下 方 的 “全 选 ”， 然 后 单 击 “一 键 备份 ”按钮 ， 如 图 14-37 所 示 。 
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图 14-37 — 44) 


择 “ 是 ” 则 会 覆盖 原来 的 备份 文件 而 重新 进行 备份 ， 如 图 14-38 所 示 。 
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1438 “警告 ”对 话 框 


步骤 05: 备份 完成 后 可 在 设 定 的 备份 路 径 中 查看 已 经 备份 的 压缩 文件 ， 如 图 14-39 所 示 。 


(2) 使 用 “驱动 精灵 ”还 原 驱 动 程序 


备份 了 驱动 程序 后 ， 在 驱动 程序 丢失 、 损 坏 时 ， 融 可 以 通过 “驱动 精灵 ” 


来 还 原 所 有 驱动 程序 ， 从 而 恢复 正常 使 用 。 


J: КЕРИ ТН RESO ЕН "Кате Кук РЕНЧЕ ЕР АП, 


步骤 01: 在 “驱动 精灵 ”中 打开 “驱动 程序 ”界面 ， 并 切换 全 “备份 还 原 ” 选 项 卡 ， 该 春 面 中 将 会 显示 已 经 备份 过 的 驱动 程序 ， 
勾 选 需要 还 原 的 驱动 程序 ， 然 后 单 击 “ 还 原 ” 按 钮 ， 即 可 将 驱动 程序 还 原 至 之 前 备份 时 的 状态 ， 如 图 14-40 所 示 。 
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图 14-39 ”查看 备份 文件 
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图 14-40 “驱动 程序 界面 


步骤 02: 此 时 会 出 现 提 示人 信息， 重启 计算 机 才能 生效 ， 单 击 “ 重 新 启动” 按钮 ， 计 算 机 将 重新 启动 并 使 还 原 的 驱动 程序 生效 ， 如 
图 14-41 所 示 。 


91441 重 尼 提示 


14.2.2 和 钾 份 与 还 原 |E 浏 网 器 的 收藏 夹 
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步骤 01: HAIEN мня, БЕЛІ рн ІН ИН ЕНІН “желш, ЯД 561028" їл, ХАН "ИДЕТ" XMWBST 
三 角 图 标 ， 在 打开 的 菜单 中 单 击 “导入 和 导出 ”命令 ,如 图 14-42 所 示 。 


步骤 02: 在 打开 的 “导入 /导出 设置 ”对 话 框 中 选择 “导出 到 文件 ”选项 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 14-43 所 示 。 


图 14-42 “导入 和 导出 ”命令 
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图 14-43 “导入 /导出 设置 ”对 话 框 
步骤 03: 在 打开 的 “你 希望 导出 哪些 内 容 ? ”对 话 框 中 勾 选 需要 备份 的 项 目 复 选 框 ， 单 击 “ 下 一 步 ” 按 钮 ， 如 图 14-44 所 示 。 


步骤 04: 在 打开 的 “选择 你 希望 从 哪个 文件 夹 导出 收藏 来 ”对 话 框 中 选择 需要 备份 的 文件 来 ， 然 后 日 击 “ 下 一 步 ”按钮 ， 如 图 
14-45 тк. 
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914-44 ”选择 导出 内 容 对 话 框 
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14-45 ”选择 从 哪个 文件 夹 导 出 对 话 框 


步 又 05: 在 打开 的 “你 希望 将 收藏 夹 导 出 至 何 处 ? ”对 话 框 中 设置 保存 路 径 ， 这 里 会 出 现 一 个 默认 保存 路 径 。 如 果 想 要 改变 存储 
位 置 ， 可 以 日 击 “ 浏 多 ”按钮 重新 选择 存储 位 置 ， 如 图 14-46 所 示 。 


步骤 06: 曲 击 “导出 ”按钮 即 可 导出 收藏 夹 ， 然 后 单 击 “ 完 成 ”按钮 即 可 完成 上 浏览 器 收藏 夹 的 备份 ， 如 图 14-47 所 示 。 


(2) 还 原 1E 浏 览 器 的 收藏 夹 


成 功 对 收藏 夹 进行 备 份 后 ， 在 重 妆 完 系统 后 ， 用 户 只 需 还 原 上 E 浏 贤 缉 的 收藏 夹 便 可 瞬间 找 回 弟 用 的 收藏 夹 。 接 下 来 残 介 绍 一 下 还 
原 1E 浏 多 器 的 收藏 夹 的 具体 操作 方法 和 步骤 。 
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914-46 ”项 望 导 出 至 何 处 对 话 框 
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图 14-47 完成 收藏 夹 的 备份 


步骤 01: 打开 IE 浏 览 器 ， 在 IE 浏 并 器 页 面 厂 上 角 单 击 “ 查 看 收藏 来 、 源 和 历史 记录 ”图 标 ， 然 后 单 击 “ 添 加 到 收藏 夹 ” 右 侧 的 下 
三 角 图 标 ， 在 打开 的 菜单 中 单 击 “导入 和 导出 ”命令 ,如 图 14-48 所 示 。 


步骤 02: 在 打开 的 “导入 /导出 设置 ”对 话 框 中 选择 “从 文件 导入 ”选项 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 如 图 14-49 所 示 。 


出 » 2 
ed 
“БАЯ 

48 

145 

图 


Ç 


El 
7 
о 


= пареа 
кар SB ДУА = A me АНУ Wi gaz E ? 


= 
в! 
n 
- 


= 
[| 
Е. 


步骤 03 : 


步骤 04: 


步骤 05: 


步骤 06: 


步骤 07: 


М par EA, (А) 
МОНА C 


ШАН (Е) 


с Ею [p—2 00. > 职 消 


图 14-49 “导入 /导出 设置 ”对 话 框 


在 打开 的 “你 希望 导入 哪些 内 容 ? ”对 话 框 中 勾 选 收藏 夹 复 选 枉 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 如 图 14-50 所 示 。 


在 “你 希望 从 何 处 导入 收藏 来 ? ”对 话 框 中 蛙 击 “浏览 ”按钮 ， 如 图 14-51 所 示 。 


在 打开 的 “请 选择 书签 文件 ”对 话 框 中 选中 之 前 备份 的 bookmark.htm 文 件 ， 然 后 单 击 “ 打 开 ” 按 钮 ， 如 图 14-52 所 


该 文件 的 保存 路 径 将 会 出 现在 “你 希望 从 何 处 导入 收藏 来 ? ”对 话 框 中 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 如 图 14-53 所 示 。 


在 打开 的 “选择 导入 收藏 夹 的 目标 文件 来” 文本 框 中 选择 需要 导入 的 文件 夹 ， 然 后 单 击 “ 导 入 ”按钮 ， 如 图 14-54 所 
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图 14-50 “你 希望 导入 哪些 内 容 ” 对 话 框 
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814-51 “你 希望 从 何 处 导入 收藏 夹 ” 对 话 框 
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图 14-52 


“请 选择 书签 文件 ”对 话 框 
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图 14-53 “你 希望 从 何 处 导入 收藏 夹 ” 对 话 框 


步骤 08: 此 时 屏幕 会 出 现 内 动 ， 导 入 完成 后 在 图 14-55 所 示 的 “你 已 成 功 导 入 了 这 些 设 置 ” 对 话 框 中 单 击 “ 完 成 ”按钮 即 可 成 功 
还 原 IE 浏 多 器 的 收藏 夹 。 
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图 14-54 “选择 导入 收藏 夹 的 目标 文件 夹 ” 文 本 框 
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图 14-55 ”成 功 还 原 收 藏 夹 


由 于 使 用 下 浏览 器 导出 的 文件 格式 为 ,htm 格式 ， 所 以 该 备份 文件 可 以 轻松 地 被 所 有 浏览 器 导入 和 还 原 。 


14.2.3 ”备份 和 还 原 QQ 聊 天 记录 


况 起 QQ 聊天 软件 ， 想 必 大 家 都 不 会 陌生 。 而 在 使 用 QQ 聊天 软件 进行 聊天 时 ， 会 产生 大 量 的 聊天 记录 。 虽 然 QQ 软 件 目 市 了 人 在线 
备份 和 随时 簿 阅 全 部 消息 记录 的 功能 ， 但 这 需要 用 户 购 买 QQ 会 员 才 能 实现 。 其 实用 户 在 不 购买 QQ 会 员 的 情况 下 依然 可 以 对 聊天 记录 
进行 备份 与 还 原 。 


(1) 备份 QQ 聊天 记录 
接 下 来 介绍 一 下 备份 QQ 聊天 记录 的 具体 操作 方法 和 步 又。 
步骤 01: 登录 QQ 后 ， 在 QQ 主 界面 下 方 单 击 “ 消 息 ” 图 标 ， 如 图 14-26 所 示 。 


步骤 02: 在 打开 的 “消息 管理 器 ”对 话 框 中 依次 单 击 “ 工 具 ” 一 “导出 全 部 消息 记录 ， 如 图 14-57 所 示 。 
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914-57 “消息 管理 器 ”对 话 框 


步骤 03: 在 打开 的 “另存 为 ”对 话 框 中 选择 保存 位 置 ， 并 输入 保 仔 名称， 然后 单 击 “ 保 分 ”按钮 ， 如 图 14-58 所 示 。 
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步骤 04: 接 下 来 将 会 导 


(2) 还 原 QQ 聊 天 记录 


QQ 聊天 记录 可 以 从 QQ 聊天 软件 中 备份 出 来 ， 也 同样 可 以 还 原 到 QQ 聊天 软件 中 。 接 下 来 残 
作 万 法 和 步骤 。 
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图 14-58 


出 消息 记录 ， 可 在 如 图 14-59 所 示 的 “导出 ”对 话 框 中 查看 到 导出 消息 记录 进度 条 ， 


正在 导出 消 明 记录 


图 14-59 
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“另存 为 ”对 话 框 


“导出 ” 对 话 框 


步骤 01: 登录 QQ 后 ， 在 QQ 主 界面 下 万 单 击 “消息 ”图 标 ， 如 图 14-60 所 示 。 
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介绍 一 下 还 原 QQ 聊 天 记录 的 具体 操 
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步骤 02: 在 打开 的 “消息 管理 器 ”对 话 框 中 依次 单 击 “ 工 具 ” 一 “导入 消息 记录 ”， 如 图 14-61 所 示 。 


e | 
2 
о 


ЯН, 


Ев 


Е 


914-61 “消息 管理 器 ”对 话 框 


步骤 03: 在 打开 的 “数据 导入 工具 ”对 话 框 中 你 选 “消息 记录 ” 复 选 框 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 14-62 所 示 。 
步骤 04: 在 打开 的 “数据 导入 工具 ”对 话 框 (2) 中 多 选 “ 从 指定 文件 导入 ” 复 选 框 ， 然 后 单 击 “ 浏 览 ” 按 钮 ， 如 图 14-63 所 
步 又 05: 在 “打开 ”对 话 框 中 选择 QQ 消息 记录 备份 文件 ， 然 后 单 击 “ 打 开 ” 按 钮 ， 如 图 14-64 所 示 。 


步骤 06: 返回 “数据 导入 工具 ”对 话 框 ， 此 时 可 以 看 到 QQ; 消 息 记录 备份 文件 保存 路 径 出 现在 文本 框 中 ， 此 时 单 击 “ 导 入 ” 按 
如 图 14-65 所 示 。 


步骤 07: 此 时 可 以 看 到 导入 消息 记录 进度 条 ， 如 图 14-66 所 示 。 


步骤 08: 进度 条 完成 时 即 可 完成 消息 记录 导入 ， 并 出 现 “ 导 入 成 功 ”提示 ， 如 图 14-67 所 示 。 


图 14-62 “数据 导入 工具 对 话 框 (1) 


[从 指定 目录 导入 
© 从 指定 立 件 导入 


请 选择 导 的 文件 ， 


|АНЫН ЕН УЗ: =, db, *.bak 


图 14-63 “数据 导入 工具 ”对 话 框 (2) 
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图 14-65 “数据 导入 工具 ”对 话 框 
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图 14-66 “导入 消息 记录 进度 条 
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图 14-67 “FARD” RT 


14.24 备份 和 还 原 QQ 目 定义 表情 


QQ 表情 在 与 好 友 聊 天 时 是 非 音频 每 使 用 的 ， 有 时 候 一 个 表情 能 够 比 文字 更 有 表达 力 ， 更 容易 体现 出 聊天 者 的 心情 、 看 法 等 。QQ 
在 安 半 时 往往 会 目 市 一 些 表 情 ， 但 是 这 些 表情 比较 单一 ， 有 时 难以 满足 用 户 的 需求 ， 这 时 用 户 惑 可 以 手动 添加 一 些 目 己 喜欢 的 表情 到 
个 人 QQ 账号 中 。 为 了 保证 目 己 添加 的 表情 不 致 丢失 ， 可 将 其 备份 ， 在 必要 时 再 进行 还 原 。 


(1) 备份 QQ 目 定 义 表情 


在 腾讯 QQ 中 ， 目 定义 表情 一 般 都 保存 在 X:\Documents\Tencent Files\3xxxxxxx5\lImage 文 件 夹 中 ， 其 中 X 代 表 安 沪 QQ 的 
磁盘 ， 如 图 14-68 所 示 。 备 份 QQ 自 定义 表情 就 是 将 Image 文 件 夹 复制 并 粘贴 到 除 系统 分 区 外 的 其 他 分 区 中 ， 并 且 要 为 备份 的 QQ 自 定 
义 表 情 重 命名 ， 最 好 突出 一 些 ， 以 免 要 使 用 时 难以 辨别 。 


@ > j r PE + SE > Tencent Files в 3xxxxxxx5 p Image № 


ХЫ AE ве) ТЫП) ВИН) 
SH ~ SERVE 


Yr Ий - МАЕ 
В та 
EE = 
E енші 


M 


Ex] PPTVIBUR $$3V5AR-(b-E $$TILI4B7XOB| $96 -3D96$JB)G $%IWDR83B3)Y]  $)5L73182(L)EJ- $ T O2]T * YRJHE 
B uum VIKJUM)VZOU.g ФО Р2ВУСа  DQ$000)$2b6 . dQz4zV6BZ V.gí — Gilz]2(Agf — V4B1R-3H7 gif 
{ Т if 
i=! 图 片 9 
= Es 
ка| mare 
а) ES 
ҖЕ (99) 
ej ше фоушсви ие —$1BV[K2R2VIER. | $1URLAVETO28 — t2YOTWITUNI-I — $3JPJETOJOBDDES | £ACVTIOA1AND 
GMYKUS]$GK  BSBÜUZWS$KIV.gi | VOGHO(-WBKj —S-$1YJ( FINIS.g — (üN3Z4$Gjpg — XNXHRGVW33.j 
k 10,455 =} 


Iw 21 


图 14-68 QQ 自 定 义 表情 存放 位 置 


(2) 还 原 QQ 目 定义 表情 


还 原 QQ 目 定义 表情 是 指 将 备份 的 QQ 目 定 义 表情 添加 到 QQ 表情 中 ， 在 还 原 时 ， 用 户 可 创建 新 的 分 组 将 要 还 原 的 QQ 目 定 义 表情 
单独 放 在 一 个 组 中 。 接 下 来 残 介 绍 一 下 还 原 QQ 目 定义 表情 的 具体 操作 方法 和 步 又。 


步骤 01: 登录 QQ 后 ， 在 QQ 主 界面 双击 一 个 QQ 好 友 图 标 ， 如 图 14-69 所 示 。 


步骤 02: 打开 对 话 框 后 ， 单 击 “ 表 情 ” 图 标 ， 在 打开 的 表情 框 中 单 击 右 下 角 的 “设置 ”图 标 ， 然 后 选择 “添加 表情 ”命令 ， 如 图 
14-70 所 泵 。 
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图 14-69 ”双击 好 友 图 标 
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图 14-70 ”表情 窗口 


步骤 03: 在 “打开 ”对 话 框 中 选择 备份 的 自 定 义 表情 ， 按 Ctrl+ 人 A 快捷 键 可 一 次 性 全 选 ， 然 后 单 击 “ 打 开 ” 按 钮 ， 如 图 14-71 所 
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图 14-71 “打开 ”对 话 框 


步骤 04: 在 打开 的 “添加 目 定义 表情 ”对 话 框 中 可 选择 将 这 些 自 定义 表情 加 入 已 有 的 分 组 中 或 者 新 建 分 组 ， 如 图 14-72 所 示 。 


步骤 05: 蛙 击 “新 建 分 组 ”链接 ， 在 打开 的 “添加 新 的 分 组 ”对 话 框 中 输入 分 组 名 ， 然 后 单 击 “ 确 定 ” 按 钮 ， 如 图 14-73 所 示 。 


图 14-72 “添加 自 定义 表情 ”对 话 框 


图 14-73 “添加 新 的 分 组 ”对 话 框 


步骤 06: 此 时 所 添加 的 目 定义 表情 将 会 显示 在 表情 框 中 ， 如 图 14- 74 所 示 。 


对 于 一 毕 经 单 需要 更 新 表情 的 用 户 来 况 ， 可 到 网 上 下 载 新 出 的 一 毕 表 情 包 ， 然 后 载 入 到 QQ 表情 框 中 。 接 下 来 残 介绍 一 下 导入 、 
导出 表情 包 的 具体 操作 方法 和 步骤 。 


步骤 01: 到 网 上 一 些 QQ 表 情 包 网 站 中 下 载 目 己 喜 欢 的 表情 包 ， 如 图 14-75 所 示 。 
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图 14-74 ”成 功 添 加 的 自 定义 表情 
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图 14-75 表情 包 下 载 


步骤 02: 然后 按照 还 原 QQ 目 定义 表情 的 步骤 打开 表情 框 ， 在 打开 的 表情 框 中 单 击 右 下 角 的 “设置 ”图 标 ， 然 后 依次 选择 “导入 
导出 表情 包 ” 一 “导入 表情 包 ” 选 项 ， 如 图 14- 76 所 示 。 


步骤 03: 在 “打开 ”对 语 框 中 选中 下 载 的 表情 包 ， 然 后 单 击 “ 打 开 ” 按 钮 ， 如 图 14-77 所 示 。 
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图 14-76 ”导入 表情 包 


оеш. 


me ^ 


amih ORME ЕЕ 我 的 视频 sees fe 


=. 
алани Е ИКИ ИЯ И ИИ иннинани RA RAS 


Е 
AETS (5) ^ | 
网 络 
тінде OD: 12090. ai 


ҮЙ НИТ): МЕН ржа.) + С gr == 


图 14-77 “打开 ”对 话 框 


步骤 04: 此 时 会 有 导入 表情 提示 ， 单 击 “ 确 定 ” 按 钮 ， 如 图 14-78 所 示 。 再 次 打开 表情 框 即 可 看 到 导入 的 表情 ， 如 图 14-79 所 
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14-78 “表情 管理 ”对 话 框 


步骤 05: 导出 表情 包 时 同样 先 打 开 表 情 框 ， 然 后 单 击 右 下 角 的 “设置 ”图 标 ， 然 后 依次 选择 “导入 导出 表情 包 ” 一 “导出 表情 
包 ” 命 令 ， 如 图 14-80 所 示 。 


步骤 06: 在 打开 的 “另存 为 ”对 话 框 中 选择 要 导出 的 表情 包 的 保存 位 置 ， 选 定 后 蛙 击 “保存 ”按钮 ， 如 图 14-81 所 示 。 
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图 14-79 ”新 导入 的 表情 


图 14-80 “导出 表情 包 


шн на 
вто Dg ‚ Өг 
p= ШЕЕ БЕШ 我 的 图 片 sem Е 
= 

是 这 访问 的 位 置 


= 
ше” 
к= 


БУ Office Е 12090.ей 
te 


АС (5) 


PERS D: ЕТТЕГІ: 
ежи). нано eif) 


14-1 “另存 为 ”对 话 框 


: 在 “表情 管理 ”对 话 框 中 出 现 “ 表 情 已 成 功 导出 ”提示 信息 ， 单 击 “ 确 定 ”按钮 ， 即 可 完成 表情 导出 操作 ， 如 图 14-82 


图 14-82 “表情 管理 ”对 话 框 


步骤 08: 这 时 在 所 选择 的 存储 位 置 即 可 看 到 导出 的 表情 包 ， 如 图 13-83 所 示 。 
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914-83 ”时 出 的 表情 包 


143 ”使 用 恢复 工具 来 恢复 误 删 除 的 数据 


14.3.1 使 用 Recuva 来 恢复 数据 

Recuva 是 一 个 由 Piriform 开 发 的 可 以 恢复 被 误 删 除 的 任意 格式 文件 的 恢复 工具 。Recuva 能 和 直接 恢复 硬盘 、| 闪 盘 、 和 存储 卡 (如 SD 
卡 ，MMC 卡 等 ) 中 的 文件 ， 只 要 没有 被 重复 写 入 数据 ， 无 论 是 被 格式 化 还 是 被 删除 均 可 直接 恢复 。 

(1) 通过 向 导 恢 复数 据 


Recuva 同 导 可 和 直接 选 定 要 恢复 的 文件 类 型 ， 从 而 进行 有 针对 性 的 文件 恢复 。 此 处 以 恢复 音乐 文件 为 例 详细 介绍 一 下 通过 Recuva 
口 导 恢复 数据 的 具体 操作 方法 和 步 又。 


步骤 01: 下 载 并 安装 Recuva 工 具 后 ， 双 击 桌 面 上 的 Recuva 图 标 ， 局 动 Recuva 数 据 恢复 软件 ， 此 时 将 会 打开 “欢迎 来 到 Recuva 
回 导 ”对 话 框 。 单 击 “ 下 一 步 ” 按 钮 ， 如 图 14-84 所 示 。 


步骤 02: 在 打开 的 “文件 类 型 ”选项 框 中 选择 “音乐 ”选项 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 14-85 所 示 。 
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步骤 03: 如 果 无 法 确定 计算 机 中 的 音乐 文件 存放 位 置 ， 则 在 打开 的 “文件 位 置 ”对 话 框 中 选中 “无 法 确定 ”选项 ， 如 图 14-86 所 
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步骤 04: 此 时 会 出 现 “ 谢 谢 ，Recuva 已 经 准备 好 查找 您 的 文件 ”提示 信息 ， 如 图 14-87 所 示 。 
步骤 05: 单 击 “ 开 始 ” 按 钮 ， 即 可 打开 scan 提 示 框 ， 对 计算 机 中 已 删除 的 文件 进行 扫 摘 ， 如 图 14-88 所 示 。 


步骤 06: 扫 摘 完 成 后 ， 会 目 动 打开 Piriform Recuva 对 话 框 ， 在 该 对 话 框 中 可 显示 计算 机 中 所 有 可 恢复 的 音乐 文件 ， 如 图 14-89 
所 示 。 在 其 中 多 选 需要 恢复 的 音乐 文件 后 单 击 “ 恢 复 ” 按 钮 ， 可 打开 “浏览 文件 夹 ” 对 话 框 ， 在 该 对 话 框 中 可 选择 恢复 的 音乐 文件 存 
储 位 置 ， 如 图 14-90 所 示 。 
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步骤 07: 选 定 后 蛙 击 “确定 ”按钮 即 开始 恢复 文件 ， 恢 复 完 成 后 会 出 现 “ 操 作 完 成 ”信息 框 ， 显示 恢复 文件 信息 ， 单 击 “ 确 


定 ” 按 钮 ， 即 可 完成 整个 恢复 文件 操作 ， 如 图 14-91 所 示 。 
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步骤 08: 在 选择 的 恢复 文件 仓储 位 置 即 可 查看 到 已 经 恢复 的 音乐 文件 ， 如 图 14-92 所 示 。 
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图 14-92 ”查看 恢复 的 文件 


在 直接 搜索 文件 失败 时 ， 可 选择 “启用 深度 搜索 ”功能 ， 该 功能 能 够 提高 文件 的 搜索 和 扫描 效果 ,但 是 也 会 消耗 更 多 的 扫描 时 
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(2) 通过 扫描 特定 磁盘 位 置 恢 复数 据 


Recuva 数 据 恢 复 软件 还 可 以 直接 扫 拉 特定 的 磁盘 位 置 来 恢复 文件 ， 这 样 可 以 大 大 节省 扫 拉 时间， 提高 文件 恢复 效率 。 


步骤 01: 局 动 Recuva 数 据 恢 复 软件 后 ， 如 果 需 要 显示 所 有 文件 则 在 “文件 类 型 ”对 话 框 中 选中 “所 有 文件 ”选项 ， 然 后 单 
击 “ 下 一 步 ” 按 钮 ， 如 图 14-93 所 示 。 

步骤 02: 在 打开 的 “文件 位 置 ” 对 话 框 中 选中 “在 特定 位 置 ”选项 ， 然 后 单 击 “ 浏 贞 ” 按 钮 ， 如 图 14-94 所 示 。 

步骤 03: 在 打开 的 “ 浏 多 文件 来 ”对 话 框 中 选择 要 恢复 的 文件 夹 ， 然 后 单 击 “ 确 定 ” 按 钮 ， 如 图 14-95 所 示 。 此 时 “文件 位 


置 ” 对 话 框 中 “在 特定 位 置 ”选项 下 的 文本 框 中 会 出 现 要 恢复 的 文件 位 置 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 14-96 所 示 。 
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图 14-96 “文件 位 置 ”对 话 框 


步骤 04: 此 时 会 出 现 “ 谢 谢 ，Recuva 已 经 准备 好 查找 您 的 文件 ”提示 信息 ， 如 图 14-97 所 示 。 单 击 “ 开 始 ” 按 钮 ， 即 可 开始 扫 
摘 ， 接 下 来 的 步骤 与 “通过 加 导 恢 复 ” 中 的 步骤 ?~ 步骤 8 相同 。 
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14-7 已经 准备 好 查找 文件 对 话 框 


(3) 通过 扫描 内 容 恢 复数 据 


当 具 体 的 某 个 文件 出 现 问 题 时 ， 用 尸 可 选择 通过 扫 摘 内 容 的 万 式 来 恢复 文件 数据 。 现 在 束 详 细 介 绍 一 下 使 用 Recuva 数 据 恢复 软 
件 通 过 扫描 内 容 恢复 数据 的 具体 操作 万 法 和 步 又 。 


步骤 01: 启动 Recuva 数 据 恢复 软件 后 ， 在 “欢迎 来 到 Recuva 向 导 ” 界 面 中 单 击 “ 取 消 ” 按 钮 ， 如 图 14-98 所 示 。 


步骤 02: 在 打开 的 Piriform Recuva 对 话 杠 中， 选择 要 扫 摘 的 磁盘 并 设置 扫 摘 文件 的 类 型 ， 如 图 14-99 所 示 。 设 置 完成 后 单 
击 “ 扫 描 ” 按 钮 右 侧 的 下 三 角 图 标 ， 在 展开 的 列表 中 单 击 “ 扫 描 内 容 ” 命 令 ， 如 图 14-100 所 示 。 


步骤 03: 在 打开 的 “搜索 文件 内 容 ” 对 语 框 中 输入 搜索 天 键 字 ， 然 后 单 击 “ 扫 搞 ” 按 钮 ， 如 图 14-101 所 示 。 
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步骤 04: 此 时 会 出 现 Scan 信 息 框 显示 扫 拉 进度， 如 图 14-102 所 示 。 扫 摘 完 成 后 ， 用 户 可 按照 “通过 向 导 恢复 数据 ”中 步骤 6~ 步 
又 8 进行 操作 。 
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14.3 ”使 用 恢复 工具 来 恢复 误 删 除 的 数据 


14.3.1 使 用 Recuva 来 恢复 数据 

Recuva 是 一 个 由 Piriform 开 发 的 可 以 恢复 被 误 删 除 的 任意 格式 文件 的 恢复 工具 。Recuva 能 和 直接 恢复 硬盘 、| 闪 盘 、 和 存储 卡 (如 SD 
卡 ，MMC 卡 等 ) 中 的 文件 ， 只 要 没有 被 重复 写 入 数据 ， 无 论 是 被 格式 化 还 是 被 删除 均 可 直接 恢复 。 

(1) 通过 向 导 恢 复数 据 


Recuva 同 导 可 和 直接 选 定 要 恢复 的 文件 类 型 ， 从 而 进行 有 针对 性 的 文件 恢复 。 此 处 以 恢复 音乐 文件 为 例 详细 介绍 一 下 通过 Recuva 
口 导 恢复 数据 的 具体 操作 方法 和 步骤 。 


步骤 01: 下 载 并 安装 Recuva 工 具 后 ， 双 击 桌 面 上 的 Recuva 图 标 ， 局 动 Recuva 数 据 恢复 软件 ， 此 时 将 会 打开 “欢迎 来 到 Recuva 
回 导 ”对 话 框 。 单 击 “ 下 一 步 ” 按 钮 ， 如 图 14-84 所 示 。 


步骤 02: 在 打开 的 “文件 类 型 ”选项 框 中 选择 “音乐 ”选项 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 如 图 14-85 所 示 。 
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步骤 03: 如 果 无 法 确定 计算 机 中 的 音乐 文件 存放 位 置 ， 则 在 打开 的 “文件 位 置 ”对 话 框 中 选中 “无 法 确定 ”选项 ， 如 图 14-86 所 
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步骤 04: 此 时 会 出 现 “ 谢 谢 ，Recuva 已 经 准备 好 查找 您 的 文件 ”提示 信息 ， 如 图 14-87 所 示 。 
步骤 05: 单 击 “ 开 始 ” 按 钮 ， 即 可 打开 scan 提 示 框 ， 对 计算 机 中 已 删除 的 文件 进行 扫 摘 ， 如 图 14-88 所 示 。 


步骤 06: 扫 摘 完 成 后 ， 会 目 动 打开 Piriform Recuva 对 话 框 ， 在 该 对 话 框 中 可 显示 计算 机 中 所 有 可 恢复 的 音乐 文件 ， 如 图 14-89 
所 示 。 在 其 中 多 选 需 要 恢复 的 音乐 文件 后 单 击 “ 恢 复 ” 按 钮 ， 可 打开 “浏览 文件 夹 ” 对 话 框 ， 在 该 对 话 框 中 可 选择 恢复 的 音乐 文件 存 
储 位 置 ， 如 图 14-90 所 示 。 
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步骤 07: 选 定 后 蛙 击 “确定 ”按钮 即 开始 恢复 文件 ， 恢 复 完 成 后 会 出 现 “ 操 作 完 成 ”信息 框 ， 显示 恢复 文件 信息 ， 单 击 “ 确 


定 ” 按 钮 ， 即 可 完成 整个 恢复 文件 操作 ， 如 图 14-91 所 示 。 
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步骤 08: 在 选择 的 恢复 文件 仓储 位 置 即 可 查看 到 已 经 恢复 的 音乐 文件 ， 如 图 14-92 所 示 。 
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图 14-89 ”可 恢复 的 音乐 文件 
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14-90 “浏览 文件 夹 ” 对 话 框 
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图 14-91 “操作 完成 ”信息 框 
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图 14-92 ”查看 恢复 的 文件 


在 直接 搜索 文件 失败 时 ， 可 选择 “启用 深度 搜索 ”功能 ， 该 功能 能 够 提高 文件 的 搜索 和 扫描 效果 ,但 是 也 会 消耗 更 多 的 扫描 时 


№] о 


(2) 通过 扫描 特定 磁盘 位 置 恢 复数 据 


Recuva 数 据 恢 复 软件 还 可 以 直接 扫 拉 特定 的 磁盘 位 置 来 恢复 文件 ， 这 样 可 以 大 大 节省 扫 拉 时间， 提高 文件 恢复 效率 。 


步骤 01: 局 动 Recuva 数 据 恢 复 软件 后 ， 如 果 需 要 显示 所 有 文件 则 在 “文件 类 型 ”对 话 框 中 选中 “所 有 文件 ”选项 ， 然 后 单 
击 “ 下 一 步 ” 按 钮 ， 如 图 14-93 所 示 。 

步骤 02: 在 打开 的 “文件 位 置 ” 对 话 框 中 选中 “在 特定 位 置 ”选项 ， 然 后 单 击 “ 浏 贞 ” 按 钮 ， 如 图 14-94 所 示 。 

步骤 03: 在 打开 的 “ 浏 多 文件 来 ”对 话 框 中 选择 要 恢复 的 文件 夹 ， 然 后 单 击 “ 确 定 ” 按 钮 ， 如 图 14-95 所 示 。 此 时 “文件 位 


置 ” 对 话 框 中 “在 特定 位 置 ”选项 下 的 文本 框 中 会 出 现 要 恢复 的 文件 位 置 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 14-96 所 示 。 
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图 14-93 “文件 类 型 ”对 话 框 
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814-94 “文件 位 置 ”对 话 框 
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图 14-95 “浏览 文件 夹 ”对 话 杠 
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图 14-96 “文件 位 置 ”对 话 框 


步骤 04: 此 时 会 出 现 “ 谢 谢 ，Recuva 已 经 准备 好 查找 您 的 文件 ”提示 信息 ， 如 图 14-97 所 示 。 单 击 “ 开 始 ” 按 钮 ， 即 可 开始 扫 
摘 ， 接 下 来 的 步骤 与 “通过 加 导 恢 复 ” 中 的 步骤 ?~ 步骤 8 相同 。 
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14-7 已经 准备 好 查找 文件 对 话 框 


(3) 通过 扫描 内 容 恢 复数 据 


当 具 体 的 某 个 文件 出 现 问 题 时 ， 用 尸 可 选择 通过 扫 摘 内 容 的 万 式 来 恢复 文件 数据 。 现 在 束 详 细 介 绍 一 下 使 用 Recuva 数 据 恢复 软 
件 通 过 扫描 内 容 恢复 数据 的 具体 操作 万 法 和 步 又 。 


步骤 01: 启动 Recuva 数 据 恢复 软件 后 ， 在 “欢迎 来 到 Recuva 向 导 ” 界 面 中 单 击 “ 取 消 ” 按 钮 ， 如 图 14-98 所 示 。 


步骤 02: 在 打开 的 Piriform Recuva 对 话 杠 中， 选择 要 扫 摘 的 磁盘 并 设置 扫 摘 文件 的 类 型 ， 如 图 14-99 所 示 。 设 置 完成 后 单 
击 “ 扫 描 ” 按 钮 右 侧 的 下 三 角 图 标 ， 在 展开 的 列表 中 单 击 “ 扫 描 内 容 ” 命 令 ， 如 图 14-100 所 示 。 


步骤 03: 在 打开 的 “搜索 文件 内 容 ” 对 语 框 中 输入 搜索 天 键 字 ， 然 后 单 击 “ 扫 搞 ” 按 钮 ， 如 图 14-101 所 示 。 
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214-101 “搜索 文件 内 容 ” 对 话 框 


步骤 04: 此 时 会 出 现 Scan 信 息 框 显示 扫 拉 进度， 如 图 14-102 所 示 。 扫 摘 完 成 后 ， 用 户 可 按照 “通过 向 导 恢复 数据 ”中 步骤 6~ 步 
又 8 进行 操作 。 
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图 14-102  Зсап 48 


14.3.2 ”使 用 FinalData 来 恢复 数据 

FinalData 具 有 强大 的 数据 恢复 功能 ， 并 且 使 用 非常 简单 。 它 可 以 轻松 恢复 误 删 数据 、 误 格式 化 硬盘 文件 ， 甚 至 连 U 盘 、 手 机 卡 、 
相机 卡 等 移动 存储 设备 中 的 误 删 文件 都 能 轻松 恢复 。 

(1) 使 用 FinalData 恢 复 误 删 文件 


当 用 户 在 计算 机 中 误 删 了 一 个 重要 的 文件 时 ， 可 立即 停止 操作 并 通过 FinalData 来 恢复 该 误 删 文件 。 接 下 来 就 介绍 一 下 使 用 
FinalData 恢 复 误 删 文件 的 具体 操作 方法 和 步骤 。 


步骤 01: 下 载 并 安装 FinalData 后 ， 双 击 梨 面 上 的 FinalData 图 标 启 动 FinalData 数 据 恢复 工具 ， 然 后 单 击 主 界 面 上 的 “ 误 删 除 文 
件 ” 图 标 ， 如 图 14-103 所 示 。 


步骤 02: 在 打开 的 界面 中 选择 要 恢复 的 文件 和 目录 所 在 的 位 置 ， 选 定 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 14-104 所 示 。 
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914-103 ”FinalData 主 界面 
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914-104 选择 文件 和 目录 所 在 的 位 置 


步骤 03: 此 时 会 出 现 “ 簿 找 已 经 删除 的 文件 ”信息 框 ， 可 得 看 到 正在 扫描 文件 进度 条 ， 如 图 14-105 所 示 。 稍 等 片刻 ， 扫 拍 完 成 
后 即 可 打开 “ 扫 摘 结果 ”对 话 框 ， 在 其 中 选中 需要 恢复 的 文件 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 14-106 所 示 。 
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214-105 “查找 已 经 删除 的 文件 ”信息 框 
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114-106 “扫描 结果 ”对 话 框 
步骤 04: 在 打开 的 “选择 恢复 路 径 ” 对 话 框 中 单 击 “浏览 ”按钮 可 打开 “浏览 文件 夹 ” 对 话 框 ， 设 置 要 恢复 的 文件 存储 位 置 ， 如 
图 14-107 所 示 。 选 择 完 成 后 单 击 “确定 ” 


按钮 ， 返 回 “ 选 择 恢复 路 径 ” 对 话 框 ， 单 击 “ 下 一 步 ”按钮 ， 即 可 对 文件 进行 恢复 。 
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14-107 打开 “浏览 文件 夹 ” 对 话 框 


(2) 使 用 FinalData 恢 复 误 格式 化 硬盘 文件 


当 用 户 不 小 心 将 硬盘 格式 化 后 忽然 发 现 硬盘 中 还 有 重要 数据 时 ， 不 用 惊慌 
(Е, ЖКО 


荡 ， 此 时 完全 可 以 使 用 FinalData 来 恢复 误 格 式 化 硬盘 文 
介绍 一 下 使 用 FinalData 恢 复 误 格式 化 硬盘 文件 的 具体 操作 方法 和 步 


27301: 在 FinalData 主 界面 单 击 “ 误 格式 化 硬盘 ”图 标 ， 如 图 14-108 所 示 。 


步骤 02: 在 打开 的 “请 选择 要 恢复 的 分 区 ”对 语 框 中 单 击 所 要 进行 恢复 的 分 区 ， 并 单 击 “ 下 一 步 ” 按 钮 ， 如 图 14-109 所 示 。 
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图 14-109 “请 选择 要 恢复 的 分 区 ”对 话 框 


步骤 03: 此 时 会 打开 “查找 分 区 格式 化 前 的 文件 ”信息 框 ， 并 且 显 示 扫描 进度 条 ， 如 图 14-110 所 示 。 扫 拉 完 成 后 打开 的 对 话 框 


中 会 显示 可 恢复 的 文件 或 文件 来 ， 勾 选 需要 恢复 的 文件 夹 复 选 框 ,然后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 14-111 所 示 。 


步骤 04: 在 打开 的 “选择 恢复 路 径 ” 对 话 框 中 蛙 击 “ 浏 哆 ” 按 钮 可 打开 “浏览 文件 来 ”对 话 框 ,设置 要 恢复 的 文件 存储 位 置 ， 如 
图 14-112 所 示 。 选 择 完成 后 单 击 “ 确 定 ” 按 钮 返回 “选择 恢复 路 径 ” 对话 框 ， 蛙 击 “ 下 一 步 ” 按 钮 ， 即 可 对 文件 进行 恢复 。 


(3) 使 用 FinalData 恢 复 U 盘 、 手 机 卡 、 相 机 卡 中 误 删 除 的 文件 


U 盘 、 手 机 卡 、 相 机 卡 是 一 种 和 普通 硬盘 的 存储 介质 完全 不 同 的 数据 存储 设备 ， 在 此 类 存储 设备 中 数据 被 删除 后 并 不 会 被 转移 到 
回收 站 中 ， 而 是 直接 被 彻底 删除 。 但 是 通过 FinalData 却 可 以 恢复 这 些 设备 中 被 误 删 除 的 文件 。 接 下 来 就 介绍 一 下 使 用 FinalData 恢 复 
U 盘 、 手 机 卡 、 相 机 卡 中 被 误 删 除 的 文件 的 具体 操作 方法 和 步骤 。 
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814-110 “查找 分 区 格式 化 前 的 文件 ”信息 框 
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914-111 勾 选 需要 恢复 的 文件 夹 
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图 14-112 ”打开 “浏览 文件 夹 ” 对 话 框 
步骤 01: 在 FinalData 主 界面 单 击 “U 盘 手机 卡 相机 卡 恢复 ”图 标 ， 如 图 14-113 所 示 。 


步骤 02: 在 打开 的 “请 选择 要 恢复 的 移动 存储 设备 ”对 话 框 中 单 击 要 恢复 的 移动 存储 设备 ， 并 单 击 “ 下 一 步 ” 按 钮 ， 如 图 14- 
114 所 示 。 
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14-114 “请 选择 要 恢复 的 移动 存储 设备 ”对 话 框 


步骤 03: 此 时 会 对 移动 存储 设备 中 的 丢失 文件 进行 自动 搜索 ， 如 图 14-115 所 示 。 搜 索 完 成 后 ， 会 出 现 扫 描 结果 对 话 框 ， 此 处 可 
以 看 到 有 多 种 格式 的 可 恢复 文件 ， 单 击 格 式 名 可 查看 该 格式 下 有 哪些 文件 ， 以 便 选 取 要 恢复 哪些 格式 的 文件 ， 选 择 完成 后 单 击 “ 下 一 
步 ” 按 钮 ， 如 图 14-116 所 示 。 
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14-115 ”搜索 丢失 文件 对 话 框 
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814-116 “扫描 结果 ”对 话 框 


步骤 04: 在 打开 的 “选择 恢复 路 径 ” 对 话 框 中 蛙 击 “浏览 ”按钮 可 打开 “浏览 文件 来 ”对 话 框 设置 要 恢复 的 文件 存储 位 置 ， 如 
图 14-117 所 示 。 选 择 完成 后 单 击 “ 确 定 ” 按 钮 返回 “选择 恢复 路 径 ” 对话 框 ， 蛙 击 “ 下 一 步 ” 按 钮 ， 即 可 对 文件 进行 恢复 。 
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914-117 打开 “浏览 文件 夹 ” 对 话 框 


14.3.3 ”使 用 FinalRecovery 来 恢复 数据 


FinalRecovery 是 一 款 功能 强大 而 且 非 常 容易 使 用 的 数据 恢复 工具 ， 它 可 以 帮助 用 户 快 速 找 回 被 误 删除 的 文件 或 者 文件 来， 支持 


硬盘 、 软 盘 、 数 码 相 机 存储 卡 、 记 忆 棒 等 存储 介质 的 数据 恢复 ， 可 以 恢复 在 命令 行 模 式 、 人 资源 管理 器 或 其 他 应 用 程序 中 被 删除 或 者 格 
式 化 的 数据 ， 即 使 回收 站 已 清空 了 ， 它 也 可 以 帮 用 户 安 全 并 完整 地 将 数据 找 回来 。 


(1) 标准 恢复 


在 “标准 恢复 ”模式 下 ，FinalRecovery 可 对 所 选 磁盘 进行 快速 扫 摘 ， 并 恢复 该 磁盘 下 的 大 部 分 文件 。 接 下 来 束 介 绍 一 下 使 用 
FinalRecovery 进 行 标准 恢复 的 具体 操作 方法 和 步骤 。 


步骤 01: 下 载 并 解压 FinalRecovery 安 装 文件 后 ， 单 击 FinalRecovery.exe 即 可 启动 FinalRecovery 数 据 恢 复工 具 ， 如 图 14-118 所 
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914-118 ”FinalRecovety 主 界面 
步骤 02: 在 FinalRecovery 主 界面 单 击 “ 标 准 恢 复 ” 图 标 即 可 进入 “FinalRecovery- 标 准 恢复 ”对 话 框 ， 如 图 14-119 所 示 。 


步骤 03: 在 “FinalRecovery- 标 准 恢复 ”对 话 框 左下 角 “ 我 的 电脑 ”一 栏 单 击 要 扫描 的 磁盘 ， 会 直接 开始 扫描 ， 如 图 14-120 所 
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14-119 “FinalRecovery- 标 准 恢复 ”对 话 框 


步骤 04: 根据 磁盘 大 小 扫 摘 时 间 会 有 所 不 同 ， 扫 摘 完 成 后 即 可 显示 扫 摘 结果 ， 如 图 14-121 所 示 。 
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图 14-120 ”我 的 电脑 


步骤 05: 勾 选 需要 恢复 的 文件 夹 复 选 框 ， 然 后 蛙 击 “恢复 ”按钮 ， 如 图 14-122 所 示 。 


步骤 06: 打开 “选择 目录 ”对 话 框 , 单 击 “ 浏 铬 ” 按 钮 选 定 恢复 文件 存储 位 置 后 蛙 击 “确定 ”按钮 ， 即 可 对 所 选 文 件 夹 中 的 文件 


进行 恢复 ， 如 图 14-123 所 示 。 


459807: 恢复 完成 后 即 可 在 所 选 存储 位 置 查看 到 已 经 恢复 的 文件 ， 如 图 14-124 所 示 。 
(2) 高 级 恢复 


接 下 来 介绍 一 下 使 用 FinalRecovery 进 行 高 级 恢复 的 具体 操作 方法 和 步骤 。 
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图 14-121 ”扫描 结果 
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614-122 选择 恢复 文件 及 存储 位 置 
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图 14-123 “选择 目录 ”对话 框 
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图 14-124 已 恢复 的 文件 


步骤 01: 在 FinalRecovery 主 界面 单 击 “高 级 恢复 ”图 标 ， 即 可 进入 “FinalRecovery- 高 级 恢复 ”对 话 框 ， 如 图 14-125 所 示 。 
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图 14-125 ФЛ“ ‘FinalRecovery- 高 级 恢复 ”对 话 框 


步骤 02: 在 “FinalRecovery- 高 级 恢复 ”对 话 框 左下 角 “ 我 的 电脑 ”一 栏 中 单 击 要 扫描 的 磁盘 ， 会 直接 开始 扫描 ， 如 图 14-126 
所 示 。 


步骤 03: 根据 磁盘 大 小 扫 摘 时 间 会 有 所 不 同 ， 扫 摘 完 成 后 即 可 显示 扫 摘 结 果 ， 如 图 14-127 所 示 。 
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图 14-126 ”我 的 电脑 
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步骤 05: 打开 5 
复 ， 如 图 14-129 所 示 。 
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614127 ”显示 扫描 结果 


选择 目录 ”对 话 框 ， 单 击 “ 浏 览 ” 按 钮 选 


恢复 的 文件 夹 复 选 框 ， 然 后 单 击 “ 恢 复 ”按钮 ， 如 图 14-128 所 示 。 


定 恢复 文件 存储 位 置 ， 单 击 “ 确 定 ”按钮 即 可 对 所 选 文件 夹 的 文件 进 
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图 14-129 “选择 目录 ”对话 框 


步骤 06: 恢复 完成 后 即 可 在 所 选 存 储 位 置 但 看 到 已 经 恢复 的 文件 ， 如 图 14-130 所 示 。 
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图 14-130 已 恢复 文件 


使 用 FinalRecovety 恢 复 文件 时 ， 切 勿 一 次 恢复 大 于 512MB 的 文件 ， 否 则 可 能 导致 FinalRecovety 自 动 退出 或 者 内 存 出 错 。 在 这 种 情况 


下 ， 建 议 分 多 次 进行 恢复 ， 一 般 恢复 一 个 60G 的 硬盘 需要 3~4 天 时 间 。 


第 15 章 ”系统 安全 防护 工具 


由 于 目前 病毒 种 类 不 仅 众 多 且 攻 击 方式 也 层出不穷 ， 为 了 改变 这 种 航 动 的 局 面 ， 可 以 使 用 系统 管理 工具 、 杀 毒 软 件 、360 安 全 卫 
士 等 工具 来 防护 系统 的 安全 。 


本 章 要 操 : 
. 系统 管理 工具 


- 间谍 软件 防护 实战 


流氓 软件 的 清除 


15.1 系统 官 理工 具 


可 以 利用 专门 的 系统 管理 工具 对 计算 机 中 的 进程 、 网 络 运行 情况 、 注 册 表 、 奖 口 以 及 木马 等 进行 检测 ， 以 上 友 现 黑客 的 踪迹 


15.1.1 进程 查看 器 ProcessExplorer 


利用 进程 查看 器 Process Explorer 不 仅 可 以 监视 、 暂 停 、 终 止 进 程 ， 还 可 以 查看 进程 调用 的 DLL 文件 ， 碍 看 CPU 及 内 存 使 用 情 
况 ， 对 进程 进行 调试 ， 它 是 协助 用 户 查 杀 木马 、 病 毒 的 好 工具 。 用 进程 查看 器 Process Explorer 查 看 进程 的 具体 操作 步 又 如 下 。 


步骤 01: 下 载 Process Explorer 软 件 ， 运 行 Process Explorer.exe 程 序 ， 即 可 打开 Process Explorer 主 窗口 ， 在 其 中 可 以 进行 查 
看 、 绪 束 、 暂 停 以 及 重 局 进程 等 操作 ， 如 图 15-1 所 示 。 


К> Procsšs Боса: Sys nternals: wwwsysintammalsc com л 4L8QD1ETP PG SKV51WWAdministratod _ 
MA) Жо) шау HEP ERO = | 


а i| mie rg CaS 


进程 
| пене 
Е] Е | System 
и] 
| 5855. exe 
m caras. exe 
= СЕТЕЕ аха 
Е [Rz] vininit. exe 
= ГИ! Services. ехе 
El m] svchost. exe 
И: [п | TXPlatform. exe 
m | "aiPrv3E. exe 
” BaiduSdSve. exe 
ем BaiduánSvc, exe 
г! kg баібцАпТгау. exe 
= gg BaiduAn. exe 


һу ED&RLesktim... 


g BaiduProtect. exe 
и | svchost. ехе 
в 7| RsMerSvc. exe 
El [a svchost. ехе 
в audicdg. exe 
[3 [m] svchost. exe 
[n dva. exe 
ГЕ svchost. exe 
ГЕ) svchost. ате 
ZhuDongFangYu. exe 
m |ьусһові. exe 
m Ерссіку. are 
=]. svchost.exe 


-本 
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图 15-2 所 示 。 
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认可 用 号 721096 进程 : 72 物理 内 存 使 用 ; 7411% 


图 15-1 


列表 中 选择 要 结束 的 进程 并 右 击 ， 在 弹出 菜 蛙 中 选择 “终止 进 
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进程 对 话 框 ， 如 


15-2 是否 终止 进程 对 话 框 


步骤 03: 利用 进程 查看 器 Process Explorer 还 可 以 终止 进程 树 。 在 终止 进程 树 之 前 ， 需 要 先 在 “进程 ”列表 中 选择 要 终止 的 进程 
ËJ, 如 图 15-3 所 示 。 
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4153 ”选择 进程 树 


步骤 04: 在 右 击 弹出 菜单 中 选择 “结束 进程 树 ” 选 项 ， 即 可 打开 是 否 终 止 进程 树 对 话 框 ， 如 图 15-4 所 示 。 单 击 “ 确 定 ” 按 钮 ， 即 
可 终止 选 定 的 进程 树 。 


Process Explorer 


想 要 终 上 TXPlatform.exe 和 它 的 下 级 吗 ? 


图 15-4 “是否 要 结束 进程 树 ” 对 话 杠 


步骤 05: 在 进程 查看 器 Process Explorer 中 还 可 以 设置 进程 的 处 理 器 关系 ， 右 击 需 要 设置 的 进程 ， 在 弹出 菜单 中 选择 “关系 设 
置 ” 选 项 ， 即 可 打开 “处 理 器 关系 ”对 话 框 ， 在 其 中 勾 选 相应 的 复 选 枉 ， 如 图 15-5 所 示 。 单 击 “ 确 定 ” 按 钮 ， 即 可 设置 由 哪个 CPU 执 


行 该 进程 。 


HERRE 


“处理 器 关系 “设置 控制 允许 执行 该 进程 的 СІ 
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图 15-5 ”设置 关系 对 话 框 


， 即 可 打开 “属性 ”对 话 框 ， 如 图 15-6 所 示 。 


步骤 06: 在 进程 查看 器 Process Explorer 中 还 可 以 查看 进程 的 相应 属性 。 右 击 需 要 查看 属性 的 进程 ， 
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图 15-6 “属性 ”对 话 框 


步骤 07: 在 进程 查看 器 Process Explorer 中 还 可 以 查找 相应 进程 。 在 Process Explorer 主 窗口 中 选择 “查找 ”一 “查找 句柄 或 
DLL” 菜 单项 ， 即 可 打开 “Process Explorer 搜 索 ” 对 话 框 ， 在 其 中 文本 框 中 输入 dll， 如 图 15-7 所 示 。 


步骤 08: 单 击 “搜索 ”按钮 ， 即 可 列 出 本 地 计算 机 中 所 有 dll 类 型 的 进程 ， 如 图 15-8 所 示 。 人 在 进程 查看 器 Process Explorer 中 可 以 
发 送信 息 。 在 Process Explorer 主 窗口 中 选择 “用 户 ” 一 4L8QD1ETPGKV51W\Administrator 一 “发 送 消息 ”菜单 项 ， 即 可 打 


开 “ 友 送 消 息 ” 对 话 框 ， 如 图 15-9 所 示 。 


tij DLL TEB 


Жен ол DLL 


图 15-7 “Process Explorer Ж” ”对话 框 
步骤 09: 在 “消息 ”文本 框 中 输入 要 友 送 的 信息 ， 然 后 单 击 “确定 ”按钮 ， 即 可 看 到 发 送信 息 的 标题 和 和 内容 ， 如 图 15-10 所 示 。 


步骤 10: 在 进程 查看 器 Process Explorer 中 可 以 查看 会 话 属性 。 在 Process Explorer 主 窗口 中 选择 “用 户 ” 一 20101421- 
1326\Administrator 一 “属性 ”菜单 项 ， 即 可 打开 “会 话 属性 ”对 话 框 ， 如 图 15-11 所 示 。 


步骤 11: 在 进程 查看 器 Process Explorer 中 可 以 查看 句柄 属性 。 在 Process Explorer 主 窗口 的 工具 栏 中 单 击 “ 显 示 下 层 窗 格 ” 按 
tH—, ， 在 “进程 ”列表 中 单 击 某 个 进程 ， 即 可 在 下 面 的 窗 格 中 显示 该 进程 包含 的 句柄 ， 如 图 15-12 所 示 。 


-AWindowsiS5rstem32ntdll. 411 
:VWindows'Srystem3z' apisetschema. 911 
-AWindowg.Sretemiz.zh-CNivgsgtrace. 211. mui 
:\Windowe\Srstem32" zh-CN\winhttp. 011. mui 
:VWindows'5rstem3Z2.zh-CNAdnzapi. 911. mui 
:\Windows'\ Srstem32\zh-CN\ceryrpt3z. 911. mui 
-YWindowsSvrstem32izh-CNYKernelBase dll mui 
;:VWindowsiSrstem32cabinet. 911 

:\Windows' Srsten32'\ webio. dll 

:\ Windows \Sretem32\winhttp. 411 
:AWindowsiS5rstem32'ncsi.dll 
:VWindowg.Ergtem3z' nlagvc.dll 
"ANindowsi5vrstemi2'vssapi. dli 
:AWindows.5rstem32'zsdpapi. 411 
-VWindowg.Srgtem3z' vikktrmca. dll 

:\ Windows ,бтЕТам 32 цеттр? вкус 011 


smssš. ехе 
ЕШЕБ. хе 
EVvchost. 
svchost. 
asvchost. 
EVvChost. 


svchost. 
avchost. 
Egvchokt. 
svehost. i 
svchost. 
E&vchost. 
svchost. 
svchost. 
&vchost. 
svehost. 


E ГЪ C) къ 0C гу C съ гу C гу гу ку CO гу CO C 


15-8 Si ЖА Ж pr jr dll A ag rz 


消息 标题 : 


ж шаш m =-= = == == 


消息 来 自 ALBQDIETPGKVS1W Administrator 


на: 
nihao| 


图 15-9 “发 送 消 息 ” 对 话 框 


步骤 12: 选中 要 碍 看 属性 的 句柄 后 ， 人 在 Process Ехроге ЕА Пн "ЕЛА" > "BE KAN, BAHA “ЕЕ” Xj, 
如 图 15-13 所 示 。 在 “详细 信息 ”选项 卡 中 可 看 到 该 句柄 的 详细 信息 ; 在 “安全 ”选项 卡 中 可 看 到 该 句柄 的 安全 信息 。 


步骤 13: 在 进程 查看 器 Process Explorer 中 还 可 以 查看 系统 信息 。 在 Process Explorer 主 窗口 的 工具 栏 中 单 击 “ 系 统 信 息 ” 按 钮 
下 ， 即 可 打开 “系统 信息 ”信息 框 ， 在 其 中 可 看 到 当前 系统 的 各 种 详细 信息 ， 如 图 15-14 所 示 。 


消息 来 自 4L8QD1ETPGKV51W\Administra... meS 


图 15-10 ”发 送 消息 的 标题 和 内 容 
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915-11 “会 话 属性 ”对 话 杠 
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图 15-12 ”显示 中 进 
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WREGISTRAMACHINEVSYSTEMAControlSet001VControA Ses... [Bm 


详细 信息 же 
基本 信息 


RETE 
SU Key 
БІ: — AEREN. 

Н: Dx BBEPFAEU 


引用 ВЕНЕ ЕВ 
Tipi: 92 
T: D 


图 15-13 ”属性 对 话 框 


图 15-14 “系统 信息 ”信息 框 


步骤 14: 可 以 通过 设置 进程 查看 器 Process Explorer 中 显示 的 进程 和 句柄 显示 属性 ， 来 满足 不 同 的 需要 。 人 在 Process Explorer 主 
窗口 中 选择 “查看 ”一 “选择 列 ” 菜 单项 ， 即 可 打开 “选择 列 ” 对 话 框 ， 如 图 15-15 所 示 。 在 “进程 映像 ”选项 卡 中 义 选 相应 的 复 选 


框 ， 即 可 显示 相应 的 属性 。 
278815: 企 “ 进 程 性 能 ”选项 卡 中 勾 选 “CPU 使 用 ”和 “句柄 计数 ” 复 选 枉 ， 如 图 12-16 所 示 。 在 “句柄 ”选项 卡 中 可 设置 显示 
进程 视图 中 的 列 ， 这 里 勾 选 “类 型 ”、 “名称 ”、 “句柄 值 ”和 “文件 共享 标记 ” 复 选 框 ， 如 图 15-17 所 示 。 


步骤 16: 在 其 中 设置 DLL 选项 卡 和 “状态 栏 
示 的 进程 ， 如 图 15-18 所 示 。 


”选项 卡 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 在 Process Explorer 主 窗口 中 看 到 设置 属性 后 显 
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进程 性 能 | 进程 I/0 | 进程 网 络 | 
КЕҢІНЕН Process Explorer 的 进程 视图 中 . 
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图 15-15 “选择 列 ” 对 话 框 


选择 的 列 将 出 现在 Process Explorer AAIE MEIR. 
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图 15-18 设置 属性 后 显示 的 进程 


15.1.2 ”网 络 检测 工具 : ColasoftCapsa 


Colasoft Capsa 是 一 款 使 用 的 基于 TCP/IP 协 议 的 网 络 监测 、 嗅 探 、 分 析 工 具 。 使 用 该 工具 ， 可 以 捕获 本 地 和 网 络 中 的 IP 数 据 


包 ， 并 进行 分 析 、 监 测 。 该 工具 的 使 用 步骤 如 下 。 


步骤 01: 下 载 并 安装 Colasoft Capsa, ERAEN EHER, Be} Colasoft Capsa Demo 主 窗口 ， 如 图 15-19 所 示 。 在 其 
中 可 看 到 本 机 计算 机 1IP 地 址 以 及 网 络 连 接 情况 。 
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图 15-19 Colasoft Capsa Demo Ё @ 5 
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步骤 02: 利用 Colasoft Capsa 可 以 分 析 和 检测 网 络 中 的 数据 包 。 在 Colasoft Capsa Demo 主 窗口 中 双击 Full Analysis (全 部 分 


析 ) 按钮 ， 即 可 打开 Modify Analysis Profile (修改 分 析 简 介 ) 对 话 框 ， 如 图 15-20 所 示 。 


步骤 03: 在 其 中 勾 选 相应 的 复 选 框 后 ， 单 击 Next (下 一 步 ) 按钮 ， 即 可 打开 Analysis Profile Options (分 析 简 介 选 项 ) 对 话 
框 ， 如 图 15-21 所 示 。 在 Analysis Object (分 析 对 和 象 ) 选项 卡 中 勾 选 相应 的 复 选 枉 ， 即 可 选择 要 分 析 的 对 象 。 


步骤 04: 在 Packet Display Buffer (数据 包 ) 选项 卡 中 可 以 设置 数据 包 缓 冲 区 的 大 小 ， 如 图 15-22 所 示 。 在 Log Settings (日 志 
设置 ) 选项 卡 中 可 设置 要 保存 的 日 志 类 型 ， 如 图 15-23 所 示 。 在 Diagnosis Settings (诊断 设置 ) 选项 卡 中 可 设置 诊断 分 析 的 各 个 属 


性 ， 如 图 15-24 所 示 。 


步骤 05: 在 Colasoft Capsa 中 可 以 设置 网 络 连接 文件 ， 在 Colasoft Capsa Demo 主 窗口 双击 Network Profile 1 (网 络 配 置 1) 


按钮 ， 即 可 打开 Profile Manage-Network Profile 1 (配置 管理 -网 络 配置 ) 对 话 框 ， 如 图 15-25 所 示 。 


步骤 06: 在 General (ЕЖ) 选项 卡 中 可 设置 网 络 配置 的 名 称 和 网 络 带 宽 。 在 Node Group (节点 组 ) 选项 卡 中 可 以 添加 、 导 
入 、 导 出 节点 组 ， 如 图 15-26 所 示 。 


Modify Analysis - 
Name: Full Analysis 


Description: Те provide comprehensive analysis af all the applications and network 
problems 


Analysis Module: 
Name Description 
[v MSN Analysis MSN Protocol 
[4| Yahoo Massenger Analysis Yahoo Protocol 
У ARP Analysis ARP/RARP Protocol 
区 | DINS Analysis DNS Protocol 
|7 Email Analysis &MITP/POP3 Protocol 
[7] ҒТР Analysis FTP Pratocol 
М! HTTP Analysis HTTP Protocol 
МИ ІСМРУ4 Analysis ICMPvd Protocol 


неа] Семее) нев 


815-20 “修改 分 析 简 介 ” 对 话 框 


Analysis Object 


Log Settings | Analysis Object 
Diagnosis Settings [7] Network Protocol 
Tab View | [=] Physical Address 
ЕА Local IP Address 
| H Remate IP Address 
| Physical Group 
МІР Group 
| E] Physical Conversation 
ГА IP Conversation 
| М ТЕР Conversation 
| 图 une Conversatian 


Д This Function is usable only when the capture is stopped. 


图 15-21 “分 析 简 介 选 项 ”对 话 框 


Analysis Object 


| Packet Display Bulfer | 


Log Settings. 
Diagnosis Settings 
Tab View 


+ Епа е packet display buffer 


Buffer size: 


When buffer i5 full: Discard oldest packets (circular buffering) 


Mote; [F уси change the buffer size, tha packet buffer will be raset and all previously stored 
packets will be lost. 


图 15-22 “数据 包 ” 选 项 卡 


Analysis Object 

Packet Display Buffar 
Град seeings 一 Names | Display Buffer Size (МЕ) 
| Diagnosis Settings E "e teg z 
| Diagnosis Log 

[-] DNS Leg 

回 Email Log 
| НТТР Гад 

[=] YAHOO Log 

ЕЯ FTP Log 

М Global Log 


Display Buffer 


Tab view 


Falder File Prefix 
log msn msn 
Diagnosis Log lag diagnosis diagnosis 
F| Email Log log erail email 
7| Email Copy email copy - 
м | НТТР Apache log lo http apache http apache 
HTTP Extended log log htte extend 
| YAHOO Messenger Log log yahoo 
*| FTP Lon loq ftp 


图 15-23 “日 志 设 置 ”选项 卡 


Analysis Profile Optia 15 


Analysis Object Bi Е Settings 
c PS Application > | Z) DNS Server Slow Response 
| [=] DNS Server Slow Response Type Performanca 
- |Z] DNS Host or Domain Does Mot E Calor | :: 
DNE богысг Error айу | i 
-图 SMTP Server Slow Response Response Time (г) 300 
- [=] SMTP Suspicious Conversation 
- [v] РОРЗ Suspicious Conversation 
- [v] SMTP Server Retumed Error | 
- [v] POPS Servar Slow Responsa Description 
- [=] POP3 Server Returned Error The response time fram the server іс 
- [2] FTP Sarvar Slew Responsa equal ta or higher than the Slow 
[2] ҒТР Suspicious Conversation неге рсетілген 
- [v] ҒТР Server Returned Error 
- [v] HTTP Cliant Error 
- [=] HTTP Suspicious Canverzatio п 
- 8] НТТР Request Page Mot Found 
- [e] HTTP Server Retumed Error 2, The DNS server is overloaded. 
(00 [v] HTTP Server Slow Response 
Е Transport 3, The DNS server 15 attacked. 
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图 15-24 “诊断 设置 ”对 话 框 


Profle Management - Network Profile 1 ` 


Node Group 


Network Profile Settings 
Мате Table 


Alarms Profile Name: 


Profile Dezcriptian 


Bandwidth Settings 


Багат; 


915-25 “网 络 配置 ”选项 卡 


步骤 07: 在 Colasoft Capsa 中 可 以 查看 各 个 协议 及 其 对 应 的 端口 。 在 Colasoft Capsa Demo 主 窗口 中 单 击 昌 按钮 ， 在 弹出 菜单 
中 选择 Local Engine Settings (本 地 引擎 设置 ) 一 Custom Protocol (普通 协议 ) 菜单 项 ， 即 可 打开 Customize Protocol (普通 协 
W) 对 话 框 ， 在 其 中 进行 添加 、 修 改 、 导 入 和 导出 协议 等 操作 ， 如 图 15-27 所 示 。 


General 


WEE ELE 


"ry э € 


| Мете Table 


Alarms 


оса! Mode Group Settings 


EY 
| -- 3 Local Host 
i 


=] ай Local Subnet 
-Eh 192.188.1.0/24 


Only editable nodes displayed. 
Local Segment 


Enter physical addresses, physical address masks of 
the group. One per line, 


图 15-26 “节点 组 ”选项 卡 


; | 
| Deleta | 


| Move Up | | 


ім ove Downl | 


| Enable Country Group 


| [Cancel || Hep | 


Customize Protocol | 


Type Filters: All Protocols w Search 


Name 
“Г Tunnel 
“Г Echo 


"Г Common Management Information Pr... 


"I Common Management Information Pr... 


" Simple File Transfer Protaco 
"f Route Access Protocol 


“Г Resource Location Protocol 


"Г Remote Access Dail-In User Service 


"T RADIUS Accounting 

Г RADIUS Dynamic Authorization 
T 551 shell 

T Kerberos 

T Time 

Y Host Mame Server 

T Login Host Protocol 


| Alias | Port 


Tunnel 

Echo 

CMIP-Agaent 

CMF -Man 

SFTP 

RAP 

КІР 

Radius 1812 
Radius-acct 1813 
Radius-dynau.. 3799 
S&hell 
кетіретін 
Тіте 
Nameserver 


Tacacs 


| Status 


Built-in 
Built-in 
Built-in 
Built-in 
Built-in 
Built-in 
Built-in 
Built-in 
Built-in 
Built-in 
Built-in 
шеп 

Buit-in 
Built-in 
Built-in 


4 ———mm Lu —— 


“普通 协议 ”对 话 框 


ai 
m= 
= 


Add... 


步骤 08: 如 果 相 对 某 个 协议 进行 修改 ， 则 先 在 协议 列表 中 选中 该 协议 ， 单 击 Modify (修改 ) 按钮 ， 即 可 打开 Modify 


Protocol (修改 协议 ) 对 话 框 ， 如 图 15-28 所 示 。 


步骤 09: 如 果 想 导出 协议 文件 ， 则 需 在 Customize Protocol (普通 协议 ) 对 话 框 中 单 击 Export (导出 ) 按钮 ， 即 可 打开 “另存 


Ж” 对 话 框 ， 如 图 1 5-29Hfrzn. 


Modify Protocol 


Protocol |Common Management | 


Short Name: |СМР-Мап 
Port Number: 


Use","to separate multiple 
value. eg: 80,83,85 


w 


图 15-28 “修改 协议 ”对 话 框 
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图 15-29 “另存 为 ”对 话 框 


Corel 
Midenstudio WIWI 


步骤 10: 在 设置 保存 位 置 和 保存 名 称 后 ， 单 击 “ 保 存 ” 按 钮 ， 即 可 看 到 Export successfully (成 功 导出 ) 对 话 框 ， 如 图 15-30 所 
。 单 击 “ 确 定 ” 按 钮 ， 即 可 完成 导出 协议 操作 。 


E 


步骤 11: 在 Customize Protocol (普通 协议 ) 对 话 框 中 单 击 Default 按 钮 ， 即 可 打开 是 否 重 置 所 有 协议 提示 框 ， 如 图 15-31 所 
示 。 单 击 “ 是 ”按钮 ， 即 可 重 置 所 有 的 协议 。 


| Export successfull 


"E 


图 15-30 “成 功 导 出 ”对 话 框 


Customized Protocols 


图 15-31 是 否 重 置 所 有 协议 提示 框 


步骤 12: 在 Colasoft Capsa Demo 主 窗口 中 单 击 昌 按钮 ， 在 弹出 菜单 中 选择 Local Engine Settings (本 地 引擎 设 
а) 一 Format (格式 ) 菜单 项 ， 即 可 打开 Local Engine Setting (本 地 引擎 设置 ) 对 话 框 ,在 Display Format (显示 格式 ) 选项 卡 下 
可 设置 显示 网 络 数 据 的 具体 格式 ， 如 图 15-32 所 示 。 


Display Format 


Precision after decimal: 


Precision behind percentage 

Byte measure: B, KB, MB, GB, TB 

Bit measure: b, Kb, Mb, Gb, Tb 
Byte/second measure: Bps, KBps, MBps, GBps, TBps 


Bit/cecond measure: Бре, Kbps, Mbps, Gbps, Tbps 


Canca 


图 15-32 “显示 格式 ”选项 卡 


15.2 间谍 软件 防护 实战 


间谍 软件 的 主要 危害 是 严重 干扰 用 户 使 用 各 种 互联 网 功能 ， 主 要 形式 有 推广 弹出 式 广告 、 影 响 用 户 网 上 购物 、 干 扰 在 线 聊 天 、 欺 
骗 用 户 浏 多 搜索 引 敬 引导 网 站 等 ， 同 时 还 有 可 能 导致 机 器 速度 变 慢 、 网 络 突然 断 开 等 情况 出 现 ， 这 主要 是 因为 间谍 软件 会 占用 大 量 系 


15.2.1 В "Баал" РУАН 


JZ B] UR не а Tdi UUSSSMND LAM РТА Нана, ЖЕНЕШЕ ек ЕРК, ЖЕН, Adware, Spyware fA 
, ЯшУСОКен, Ве, МХЕ. М-М, ОО ЕЛ, SERB, НЕЕ. MAESE, “БЕЛАЯ 
”还 可 以 将 其 隅 离 ， 从 而 全 面 保护 网 络 安全 。 


ХЕ dH 


在 “ 反 旧 读 专 家 ”中 可 扫 摘 出 本 地 计算 机 中 仓 在 的 间 读 软件 ， 具 体 的 操作 步骤 如 下 。 


步骤 01: 下 载 并 运行 “ 反 间 谍 专 家 ”程序 ， 即 可 打开 “ 反 间 谍 专 家 ” 主 窗口 ， 在 其 中 看 出 “ 反 间 谍 专 家 ”有 “快速 但 杀 ” 和 “ 完 


全 查 杀 ”两 种 万 式 ， 如 图 15-33 所 示 。 


步骤 02: 在 “ 查 杀 ”栏目 中 单 击 “ 快 速 查 杀 ” 按 钮 ， 在 右边 窗口 中 单 击 “ 开 始 查 杀 ” 按 钮 ， 即 可 打开 “扫描 状态 ”对 话 框 ， 如 图 
15-34 所 示 。 


步 又 03: 在 扫 摘 结束 乙 后 ， 即 可 打开 “ 扫 摘 报告 ”对 话 框 ， 在 其 中 询 出 了 扫 摘 到 的 及 意 代码 ， 如 图 15-35 所 示 。 
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ла Bn: 
PAESE өзі РЕЗ 
EHHI 


Cookies, Adwar i-i 


Exil mile UE: 


С: iProgram Filez*kTencentillj*Bin*Kernelltil. dll 
Ejdi: РЖИ 00:00:01 


图 15-34 “扫描 状态 ”对 话 框 


步骤 04: 单 击 “ 选 择 全 部 ”按钮 即 可 选中 全 部 的 恶意 代码 ， 然 后 单 击 “ 清 除 ” 按 钮 ， 即 可 快速 清除 扫 摘 到 的 恶意 代码 ， 如 图 15- 
36/7. 


扫描 完成 , #2 жанр: 
- СНМ ЗЕГЕ 


Кат: chm. filevhell''apencammand 
描述 ; СНМ РЕЗО ЕНЕД 


E: ЕАР 
Ве, RTHDCPL ЕХЕ 


ЊЕ: Ж 


15-35 “扫描 报告 ”对 话 框 


图 15-36 ”清除 结果 


步骤 05: 在 “ 反 间 谍 专 家 ” 主 窗口 中 单 击 “ 完 全 查 杀 ” 按 钮 关 ， 即 可 打开 “完全 查 杀 ” 对 话 框 ， 如 图 15-37 所 示 。 在 其 中 可 看 出 


步骤 06: 在 “ 目 定 义 扫 描 ” 栏 目 中 单 击 “ 目 定义 得 杀 ” 按 钮 ， 即 可 打开 “得 杀 目 录 选 择 ” 对 话 框 ， 如 图 12-38 所 示 。 
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15-37 杀 ” 对 话 框 
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图 15-38 “ 查 杀 目录 选择 ”对 话 框 


步骤 07: 蛙 击 “确定 ”按钮 ， 即 可 打开 “ 扫 拉 状 态 ” 对 话 框 ， 在 其 中 可 以 查看 查 杀 进 程 ， 如 图 15-39 所 示 。 在 扫描 过 程 中 ， 如 果 
发 现 恶意 代码 ， 则 会 弹出 “选择 动作 ”对 话 框 ， 如 图 15-40 所 示 。 单 击 “ 清 除 ” 按 钮 ， 即 可 将 该 恶意 代码 清除 。 
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图 15-39 “扫描 状态 ”对 话 框 


AXE: Trojan. Vin32 
位 下 FRAAS L RRA200406502qqwbmake аднЪ. ехе 
Ж 2 


本 次 扫 撕 不 再 提示 


图 15-40 “选择 动作 ”对 话 框 


步骤 08: 待 扫 摘 结束 乙 后 ， 即 可 打开 “ 扫 摘 报告 ”对 话 框 ， 在 其 中 列 出 所 扫 摘 到 的 亚 意 代码 ， 如 图 12-41 所 示 。 在 其 中 勾 选 要 清 
除 的 恶意 代码 前 面 的 复 选 框 后 ， 单 击 “ 清 除 ” 按 钮 ， 即 可 删除 这 些 有 恶意 代码 。 


步骤 09: 在 “ 反 间 读 专 家 ” 主 界 面 中 切换 到 “ 单 用 工具 ” 桩 目 中 ， 单 击 “ 系 统 免疫 ”按钮 ， 即 可 打开 “系统 免疫 ”对 话 框 ， 如 图 
15-42 所 示 。 单 击 “ 局 用 ”按钮 ， 即 可 确保 系统 不 会 受到 恶意 程序 的 攻击 。 
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图 15-41 “扫描 报告 ”对 话 框 
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915-42 “系统 免疫 ”对 话 杠 


步骤 10: HE “| 修改 ”按钮 ， 即 可 打开 “IE 修复 ”对 话 框 ， 如 图 15-43 所 示 。 单 击 “ 立 即 修复 ”按钮 ， 即 可 修复 上 E 浏 览 器 。 
在 “ 反 间 读 专 家 ” 主 界面 切换 到 “ 忆 级 工具 ” 柱 目 中 ， 在 其 中 可 对 进程 、 服 务 、 网 络 连 接 等 进行 管理 ， 如 图 15-44 所 示 。 
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图 15-44 “高 级 工具 ”对 话 框 
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分 ， 按 照 目 己 的 选择 安全 地 把 它们 删除 ， 从 而 使 用 户 不 会 因为 它们 而 泄露 目 己 的 隐私 和 数据 。 使 用 Ad-Aware 驱 逐 间 读 软 件 的 具体 操 
ЕЗШ Е. 


步骤 01: 下 载 并 运行 Ad-Aware 软 件 ， 即 可 打开 Ad-Aware 主 窗口 ， 如 图 15-45 所 示 。 从 中 可 以 看 到 各 种 主要 状态 按钮 。 单 击 左 
下 角 的 “转换 为 高 级 模式 ”按钮 ， 即 可 将 Ad-Aware 软 件 转 换 为 高 级 模式 ， 如 图 15-46 所 示 。 
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图 15-46 ”转换 为 高 级 模式 


步骤 02: 单 击 Ad-Aware 主 窗口 中 的 “ 扫 摘 系统 ”按钮 ， 即 可 打开 准备 扫 拉 窗口， 如 图 15-47 所 示 。 在 扫 摘 之 前 ， 需 要 对 扫描 的 
各 项 属性 进行 设置 。 单 击 “ 设 置 ” 按 钮 ， 即 可 打开 扫 摘 设 置 对 话 框 ， 如 图 12-48 所 示 。 
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图 15-47 ”准备 扫描 窗口 
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915-48 ”扫描 设置 对 话 框 


步骤 03: 在 “扫描 ”选项 卡 中 单 击 “ 选 择 文件 来” 按钮 ， 在 打开 的 对 话 框 中 选择 要 扫 拉 的 文件 来 ， 如 图 15-49 所 示 。 蛙 击 “ 确 
定 ” 按 钮 返回 到 “准备 扫 摘 ”窗口 中 ， 单 击 “ 现 在 扫 摘 ”按钮 ， 即 可 进行 扫 摘 ， 其 扫 摘 结果 如 图 15-50 所 示 。 
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图 15-50 ”扫描 结果 


步骤 04: 在 “建议 操作 ”列表 中 单 击 下 三 角 符号 ， 在 弹出 菜单 中 选择 相应 选项 ， 即 可 执行 相应 的 操作 ， 如 图 15-51 所 示 。 选 
择 “ 修 复 所 有 ”选项 ， 即 可 打开 “对 于 这 些 对 象 ， 选 定 的 操作 将 不 能 更 改 ” 提 示 框 ， 如 图 15-52 所 示 。 
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15-52 “ 选 定 的 操作 将 不 能 更 改 ” 提 示 框 


步骤 05: 单 击 “ 确 定 ” 按 钮 ， 即 可 进行 修复 操作 。 待 修复 完毕 后 ， 即 可 看 到 “ 质 测 并 清除 了 一 个 高 危 可 疑 对 象 ” 提 示 框 ， 如 图 
15-53 所 示 。 单 击 “ 确 定 ” 按 钮 ， 即 可 修复 完成 操作 。 


步骤 06: 在 Ad-Aware 主 窗口 中 单 击 Ad-Watch 按 钮 ， 即 可 切换 到 Ad-Watch 窗 口 ， 在 其 中 可 以 监视 本 机 进程 、 注 册 表 以 及 网 络 
状态 ， 并 可 以 查看 详细 日 志 ， 如 图 15-54 所 示 。 在 Ad-Aware 主 窗口 中 单 击 “额外 ”按钮 ， 即 可 打开 “人 额外 ”窗口 ， 如 图 15-55 所 示 。 


步骤 07: 在 Internet 栏 目 中 多 选 相应 的 复 选 框 ， 单 击 “ 设 置 ” 按 钮 ， 即 可 清除 浏览 器 隐私 数据 ， 如 图 15-56 所 示 。 
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图 15-54 Ad-Watch 窗口 
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15.2.3 ”使 用 “Windows 清 理 助 手 ” 清 理 间 谍 软 件 

“Windows 清 理 助 手 ” 是 一 款 不 可 缺少 的 清理 与 安全 辅助 系统 工具 。 该 工具 采用 创新 的 清理 技术 ， 可 彻底 清理 任何 驱动 保护 的 
恶意 软件 。 “Windows 清 理 助 手 ” 可 以 彻底 清理 系统 垃圾 。 

FAMA “Windows 清 理 助 手 ” 清 理 间谍 软件 的 具体 操作 步骤 。 


步 又 01: 下 载 并 安 半 “Windows 清 理 助手 ”， 双 击 梨 面 上 的 快捷 图 标 ， 即 可 打开 “Windows 清 理 助 手 ” 窗 口 ， 如 图 15-57 所 


e | 
2 
o 


步骤 02: 用 “Windows 清 理 助 手 ” 工 具 可 以 扫 摘 本 机 中 存在 的 间谍 软件 。 单 击 “ 立 即 扫 摘 ”按钮 ， 即 可 进行 扫 摘 ， 同 时 显示 扫 
摘出 的 可 疑 文件 数目 ， 如 图 15-58 所 示 。 


步骤 03: 街 扫 摘 结 束 后 ， 即 可 在“ 扫 摘 清 理 ” 窗 口中 看 到 扫 摘出 的 可 疑 文 件 ， 并 显示 风险 的 级 别 ， 如 图 12-59 所 示 。 勾 选 需要 清 
理 的 对 象 后 ， 单 击 “ 执 行 清理 ”按钮 ， 即 可 打开 “提示 ”对 话 框 ， 如 图 15-60 所 示 。 
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图 15-57 “Windows 清 理 助 手 ” 窗 口 
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图 15-58 ”扫描 可 疑 文件 
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图 15-59 ”扫描 出 的 可 疑 文件 


步 又 04: 单 击 “是 ”按钮 ， 即 可 彻底 清除 选中 的 可 疑 文件 。 在 “诊断 报告 ”选项 卡 中 单 击 “ 请 点 击 此 处 ， 开 始 诊断 ”按钮 ， 即 可 
对 系统 进行 诊断 ， 如 图 15-61 所 示 。 诊 断 完 成 后 可 得 看 诊断 报告 ， 如 图 12-62 所 示 。 


图 15-60 “提示 ”对 话 框 
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图 15-61 ”开始 诊断 
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图 15-62 ”查看 诊断 报告 


步骤 05: 在 “Windows 清 理 助 手 ”窗口 中 单 击 “ 音 用 功能 ”栏目 下 的 “痕迹 清理 ”按钮 ， 即 可 打开 “痕迹 清理 ”窗口 ， 如 图 15- 
63 所 示 。 单 击 “ 分 析 ” 按 钮 ， 即 可 扫 摘 出 本 机 中 存在 的 各 种 痕迹 ， 如 图 15-64 所 示 。 单 击 “ 清 理 ” 按 钮 ， 即 可 清除 各 种 痕迹 。 
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915-63 “痕迹 清理 ”窗口 
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15-64 ”扫描 出 的 使 用 痕迹 


15.24 ”使 用 Malwarebytes Anti-Malware BIEG EAH 


Malwarebytes Anti-Malware 配 合 独 有 的 动态 分 析 技 术 加 上 不 断 升 级 的 特征 库 ， 使 查 杀 恶意 软件 更 加 人 全面、 迅速 、 彻 底 。 它 具 
有 全 新 设计 的 进程 管理 模块 。 利 用 该 工具 可 以 显示 隐藏 进程 ， 更 可 以 强制 结束 闫 固 进程 。 使 用 “Malwarebytes Anti-Malware" B 
理 恶 意 软件 的 具体 步骤 如 下 。 


步骤 01: 下 载 并 安装 Malwarebytes Anti-Malware 后 ， 在 桌面 上 双击 Malwarebytes Anti-MalwareBts ® ， 即 可 打开 
Malwarebytes Anti-Malware 窗 口 ， 如 图 15-65 所 示 。 
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图 15-65 Malwarebytes Anti-Malware В v 


步骤 02: 选 定 扫 摘 方式 后 ， 单 击 “ 扫 摘 ” 按 钮 ， 即 可 进行 恶意 软件 扫 朱 。 在 检测 完成 乙 后 ， 单 击 “ 结 果 ” 按钮 显示 所 有 检测 到 的 
恶意 软件 ， 如 图 12-66 所 示 。 在 其 中 勾 选 清除 恶意 软件 表面 的 复 选 枉 ， 单 击 “ 删 除 所 选 ”按钮 ， 即 可 对 选中 的 肪 意 软 件 进行 清除 。 
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图 15-66 ”查看 扫描 结果 


15.2.5 ”用 Spy Sweeper 清 除 间 谍 软 件 


当 大 家 安装 了 某 些 免费 的 软件 或 浏 史 某 个 网 站 时 ， 都 可 能 被 间谍 软件 洪 入 。 黑 客 除 监 视 用 己 的 上 网 习惯 (如 上 网 时 间 、 经 常 浏 晚 
的 网 站 以 及 购买 了 什么 商品 等 ) 外 ， 还 有 可 能 记录 用 户 的 信用 卡 账 号 和 密码 ， 这 给 用 户 安 全 市 来 了 重大 隐患 。3py Sweeper 是 一 款 五 
星 级 的 间 读 软件 清理 工具 ， 还 提供 主页 保护 和 Cookies 保 护 等 功能 。 具 体 的 操作 步骤 如 下 。 


步骤 01: 在 安装 软件 完毕 之 后 重启 计算 机 ， 即 可 加 载 Spy Sweeper 程 序 。 双 击 桌面 上 的 Webroot AntiVirus 图 标 ， 即 可 进入 其 操 
作 界 面 ， 如 图 15-67 所 示 。 


| x Last full &weep: Nevar а Block ur wanted traffic 
| Next sweep: 2013/11/22 1:00 + (lean your system 
Ttems detected to date: 0 s Back up your Нез 


| Subscription 


| «P Shields: 12 of 12 Recommended Shields аге ON 
| Items Blocked: 0 


| шшш 
| «£P Last check: Today 


Autamiatic Updates: ОМ 


Check for Updates No open alerts 


图 15-67 Spy Sweeper 37i tn 
步骤 02: 单 击 左 侧 Options 按 钮 ， 并 选择 Sweep 标 签 ， 即 可 设置 扫 拉 方式， 如 图 15-68 所 示 为 快速 扫 摘 方式 Quick Sweep, 


03: 在 选择 Custom Sweep (〈 目 定义 扫 拍 方 式 ) 选项 ， 则 用 户 可 以 在 下 方 列 表 中 选择 需要 扫 搞 的 对 象 ， 如 图 12-69 所 示 。 
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图 15-68 设置 扫描 方式 


Free Threat Scan - subscription Inactive 


27 options 
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49 Shields Sweep Type 
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- Full Sweep (Recommended; Custom Sweep lets you create custom settings for tha search. 


С? Quick Sweep 


Custom Sweep Settings Change 5121125 
Sweep Al Attached Drives System Restore Folde 
св Sa ar | All User Accounts 
Windows Registry w | Direct Disk Sweeping 


//| Memory Objed Rootkits 
"| Cookies “| Verfy Executable Programs 


ғ Compressed Fies Behavioral Detect 
File Extensions to Ignore 
None Salected 


Мем Seccion Log Sdhedule This Sweep 


图 15-69 ”选择 需要 扫描 的 对 象 
步骤 04: 若 单 击 Change settings 超 链接 ， 则 弹出 如 图 15-70 所 示 的 对 话 框 ， 用 户 可 以 具体 设置 扫描 或 跳 过 的 对 象 。 
步骤 05: 单 击 左 侧 Sweep 按 钮 ， 再 单 击 主 窗 口中 的 下 拉 按 钮 ， 从 列表 中 选择 扫 摘 方式 ， 如 图 15-71 所 示 。 


步骤 06: 单 击 Start Custom Sweep 按 钮 ， 即 可 开始 扫描 ， 上 面 显示 扫描 进度 ， 中 间 显 示 扫 描 当 前 对 象 ， 下 面 为 扫描 结果 ， 如 图 
15-72 所 示 。 


步骤 07: 在 扫 摘 结束 后 ， 系 统 将 显示 如 图 12-73 所 示 的 界面 ， 其 中 显示 需要 清除 的 对 象 。 单 击 元 侧 单 击 Schedule 按 钮 ， 可 创建 定 
时 扫 拉 任务， 其 中 包括 扫 摘 事件 、 开 始 扫 摘 时 间 等 ， 如 图 12-74 所 示 。 


步骤 08: 单 击 左 侧 Options 按 钮 ， 选 择 Shields 选 项 卡 ， 在 其 中 设置 各 种 对 象 的 防御 选项 ， 使 用 户 在 上 网 过 程 中 能 及 时 保护 系统 ， 
如 图 15-75 所 示 。 
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图 15-70 Custom Sweep*] T£ 4E 
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915-72 ”正在 扫描 
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图 15-73 ”显示 扫描 结果 
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图 15-74  Schedule4£ J& Jt d 
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图 15-75 Shields4£4£ Jt @ 


15.2.6 ”通过 事件 合 看 器 抓 住 | 间谍 


如 果 用 户 关 心 系统 的 安全 ， 并 且 想 快捷 地 查找 出 系统 的 安全 隐患 或 发 生 的 安全 问题 的 原因 ， 通 过 Windows 系 统 中 “事件 查看 
器 ”可 发 现 一 些 安全 问题 的 苗头 及 已 植 入 系统 的 “间谍 ”所 在 。 在 Windows 7 系统 中 打开 “事件 查看 器 ”方法 为 : 右 击 桌面 计算 机 图 
фл, ЖЕ “管理 ”， 在 打开 的 “计算 机 管理 ”界面 中 单 击 “ 系 统 工具 ” ， 然 后 单 击 “ 事 件 查看 器 ” ， 即 可 打开 “事件 查看 器 ”窗口 ， 
如 图 15-76 所 示 。 


ІНІН FA М) ЖИЕНІН) 
© eb Ша 
Ж 计算 机 答 理 [二 地 | # 
4 || FAILE шешен 
| - кенг я = жыннан. 
я | ==. r EL ЕР 
ЖЕНТ. ҒИ аабал нат, BERNAR ERECAN. НИН = г нешеуі. 
т езе кивнесинвежканяяи тәжі. ПЕЛЕНИН ЕНИКИ 。 一 = ктш. 
F {ШЕШШ == 
3 а Window: Б 
A рота ив А 
ATA 
mp Ағыл 
- ДЕ ЖЕНІРЕН 
NE | 
Каш L f TERI 
d RETI ы 
а c іе: 
vs Еш 
， 电 服务 和 应 用 程序 名 称 
ExEM REI m 
шеу МЕИ 


C ЕЯ 
idet 24 ски H ss 


eg pom ERIT sini 


Ха Мета... 格 改 时 间 
1LO/M.. 2013/12/30 8:32:31 
6B KB/20.. 2011/5/26 10:15:52 局 用 


| Tuam 4 Па qk. E.T i == == 


图 15-76 “事件 查看 器 ”窗口 
1. 事 件 查 看 器 查获 “间谍 ”实例 


由 于 日 志 记 录 了 系统 运行 过 程 中 大 量 的 操作 事件 ， 为 了 方便 用 户 查 阅 这 些 信息 ,， 米 取 了 “编号 ”方式 ,同一 编号 代表 同一 类 操作 
事件 。 


(1) мъ: 6006 (事件 日 志 服 务 已 停 用 ,信息 ) 
原因 : 系统 因 天 机 、 重 局 、 朋 省 等 原因 导致 日 志 服务 伏 退 中 止 ， 如 图 15-77 所 示 。 


作用 : 如 果 用 户 的 服务 器 正音 是 不 天 机 的 ， 但 却 出 现 这 个 事件 记录 ， 那 么 融 应 该 检查 是 个 曾 伏 亚 意 用 户 企 本 地 或 远程 执行 了 重 局 
操作 。 但 对 于 个 人 用 户 来 说 出 现 这 个 信息 则 很 正常 ， 因 为 正常 天 机 操作 也 会 出 现 这 个 信息 。 


(2) 编号 : 7001 (服务 被 禁止 ,错误 


RA: 与 Computer Browser 服 务 相 依 的 Server 服 务 因 一 些 错 误 而 无 法 启动 。 原 因 可 能 是 已 被 禁用 或 与 其 相关 联 的 设备 没有 启 
动 ， 如 图 15-78 所 示 。 


ТЕН: 应 检查 系统 “服务 ”中 的 Server 等 服务 是 否 被 天 | 闭 ， 例 如 有 的 单机 用 尸 为 了 彻底 杜绝 默认 共享 的 问题 ， 而 将 Server 服 务 关 
闭 。 随 后 当 该 机 进行 组 建 局 域 网 、 访 问 共享 资源 等 操作 时 ， 融 会 因 Server 服 务 天 闭 而 出 现 这 类 铬 误 。 
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图 15-77 “事件 ID 为 6006 属 性 ”对 话 框 
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915-78 “事件 ID 为 7001 属 性 ”对 话 框 


(3) ме: 6005 (事件 日 志 服 务 已 启动， 信息 ) 


原因 : 每 次 系统 局 动 后 ,日 志 服 务 均 会 目 动 局 动 并 记载 指定 事件 ， 如 图 15-79 所 示 。 


作用 : е Неко ПЕЕ, 


2. 安 全 日 志 的 局 用 


安全 日 志 在 默 认 情 况 下 是 停 用 的 ， 但 作为 维护 系统 安全 中 最 重要 的 措施 之 一 ， 将 其 开局 显然 是 非常 必要 的 ， 通 过 查阅 安全 日 志 ， 
可 以 得 知 系统 是 否 有 被 恶意 入 侵 的 行为 等 。 
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图 15-79 “事件 ID 为 6005 属 性 ”对 话 框 


局 用 安全 日 志 的 具体 操作 步骤 如 下 。 


步骤 01: 在 “运行 ”对 语 框 中 输入 mmc 命 令 ， 即 可 打开 “控制 台 1” 窗口。 选择 “文件 ”一 “添加 /删除 管理 单元 ”菜单 项 ， 即 
可 打开 “添加 或 删除 管理 单元 ”对 话 框 ， 如 图 15-80 所 示 。 
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15-80 “添加 /删除 管理 单元 ”对 话 框 
步骤 02: 在 其 中 选择 “组 策略 对 象 编辑 器 ”选项 ， 单 击 “ 添 加 ”按钮 ， 如 图 15-81 所 示 。 
步骤 03: 弹出 “选择 组 策略 对 象 ”对 话 框 ， 在 其 中 选择 “本 地 计算 机 ”选项 ， 如 图 15-82 所 示 。 


步骤 04: 单 击 “ 完 成 ”按钮 ， 即 可 完成 添加 操作 。 在 “控制 侣 ”窗口 中 展开 “本 地 计算 机 荣 略 ”一 “计算 机 配 
置 ” 一 “Windows 设 置 ” 一 “安全 设置 ”一 “本 地 策略 ”一 “审核 策略 ”选项 ， 如 图 15-83 所 示 。 


步骤 05: 在 石 侧 窗 口中 石 击 相应 选项 ， 在 其 属性 对 话 框 中 选取 “成 功 ” 和 “失败 ” 复 选 枉 。 例 如 右 击 “审核 账 尸 管理 ”项 ， 在 快 
捷 荣 单 中 选取 “属性 ”选项 ， 则 可 打开 “审核 账 己 管理 属性 ”对 话 框 ， 在 “本 地 安全 设置 ” 标 釜 卡 中 勾 选 “成 功 ” 和 “失败 ” 复 选 
框 ， 如 图 12-84 所 示 。 单 击 “ 确 定 ”按钮 ， 即 可 完成 操作 ， 此 后 安全 日 志 将 记录 该 项 目的 审核 结果 。 


3. 事 件 查 看 器 的 管理 


由 于 日 志 中 记录 了 大 量 的 系统 信息 ， 需 要 占用 一 定 的 磁盘 空间 ， 如 果 是 个 人 计算 机 ， 则 可 经 常 清除 日 志 以 减少 磁盘 占用 量 。 如 果 
胸 得 日 志 内 容 比 较 重要 ， 还 可 将 其 保存 到 安全 的 地 万 。 
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15-1 “添加 独立 管理 单元 ”对 话 框 
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图 15-82 “选择 组 策略 对 象 ” 对 话 框 
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图 15-83 “控制 台 1 窗口 
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图 15-84 “审核 账户 管理 属性 ”对 话 框 


具体 的 操作 方法 如 下 。 


步骤 01: 在 “事件 但 看 器 ”窗口 中 依次 单 击 “应 用 程序 ”一 “清除 日 志 ” 选 项 ， 此 时 会 弹出 一 个 对 话 框 ， 选 择 直 接 清除 日 志 或 者 
清除 前 先 保存 内 容 ， 如 图 15-85 所 示 。 
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步骤 02: 也 可 人 在 快捷 荣 音 中 选择 “日 志 属 性 ”命令 ， 在 打开 的 对 话 框 中 单 击 “ 清 除 日 志 ” 按 钮 ， 将 该 日 志 记 录 删 除 ， 如 图 12-86 
所 示 。 此 时 同样 可 选择 是 否 在 清除 前 保存 日 志 。 


03: 若 在 快捷 菜单 中 选取 “将 所 有 事件 另存 为 ”选项 ， 同 样 可 以 将 日 志 记 录 保 存 下 来 ， 如 图 15-87 所 示 。 
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915-87 保存 日 志 


1527 ”微软 反 间 诬 专 家 Windows Defender 使 用 流程 


Windows Defender 是 一 蒜 免 费 反 间谍 软件 。 它 可 以 帮 用 尸检 测 及 清除 一 些 潜藏 在 操作 系统 里 的 间谍 软件 及 广告 软件 ,保护 用 户 
计算 机 不 会 受到 一 些 间谍 软件 的 安全 威胁 及 控制 ， 也 保障 了 使 用 者 的 安全 与 隐私 。 其 具体 的 操作 步骤 如 下 。 


步骤 01: 在 桌面 左下 角 单 击 “ 开 始 ”， 单 击 “ 控 制 面 板 ” 进 入 “控制 面板 ”窗口 ， 单 击 Windows Defender 图 标 ， 如 图 15-88 所 


7Jvo 


步骤 02: 进入 Windows Defender 窗 口 后 ， 单 击 “ 扫 摘 ” 右 侧 的 下 三 角 图 标 可 选择 对 系统 进行 快速 扫 摘 、 完 全 扫 摘 和 自 定 尺 扫 
描 ， 如 图 15-89 所 示 。 
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图 15-88 ”控制 面板 
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要 一 段 时 间 ， 耐 心 等 待 。 扫 摘 过 程 中 如 果 系 统 中 仔 任 


步骤 03: 根据 需要 选择 其 中 一 项 后 ， 即 可 对 系统 进行 扫描 ， 扫 描 过 程 可 
恶意 软件 ， 则 会 出 现 提示 信息 ， 如 图 15-90 所 示 。 

步骤 04: 检测 完成 后 返回 主 界面 ， 可 以 看 到 检测 到 的 有 害 项 目 ， 如 图 15-91 所 示 。 单 击 “ 复 查 检测 到 的 项 目 ” 链 接 ， 可 打 
jt "Windows Defender 警 报 ” 对 话 框 ， 在 其 中 可 看 到 检测 到 的 项 目的 具体 内 容 ， 以 及 可 选择 对 其 进行 删除 、 隔 离 或 允许 操作 ， 如 图 


15-92 所 示 。 单 击 “ 应 用 操作 ”按钮 可 执行 选 定 的 操作 ， 执 行 完成 后 会 显示 “已 成 功 应 用 请 求 的 操作 ” ， 单 击 “ 关 闭 ” 按 钮 关闭 对 话 


框 即 可 ， 如 图 15-93 所 示 。 
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915-90 ”正在 检测 


扫描 同谋 软件 和 其 他 潜在 的 不 需要 的 软件 


图 15-91 有 害 项 目 
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图 15-92 “Windows Defender 2” 对话 框 
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图 15-93 已 成 功 应 用 请 求 的 操作 


步骤 05: 人 在“ 工具 和 设置 ”一 栏 中 单 击 “ 选 项 ”链接 ， 可 打开 “选项 ”窗口 ， 在 其 中 可 设 定 目 动 扫 摘 的 时 间 、 频 率 以 及 扫 拉 类 
型 ， 并 且 可 设 定 默认 操作 以 及 选择 是 否 使 用 实时 保护 ， 如 图 15-94 所 示 。 
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15-94 ”选项 


15.3. ШЫҚ МЕНІ 
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15.3.1 ”清理 浏 史 器 插件 
现在 有 很 多 与 网 络 有 关 的 工具 ， 如 下 载 工具 、 搜 索引 擎 工具 条 等 都 可 能 在 安装 时 在 浏览 器 中 安装 插件 ， 这 些 插件 有 时 并 无 用 处 ， 
还 可 能 是 流 总 软件 ， 所 以 有 必要 将 其 清除 。 


ActiveX 撤 术 是 一 种 共享 程序 数据 和 功能 的 技术 。 一 般 软 件 需要 用 户 单 独 下 载 然后 执行 安 委 ， 而 ActiveX 插 件 只 要 用 户 浏 砚 到 特定 
的 网 页 ，1E 浏 览 器 束 会 目 动 下 载 并 提示 用 尸 安 六 。 目 前 很 多 软件 都 采取 这 种 安 闪 万 式 ， 如 播放 Flash 动 画 的 播放 插件 。 


当然 ， 很 多 流氓 软件 也 利用 浏览 器 这 一 特点 ， 并 不 进行 提示 就 直接 下 载 安装 ， 甚 至 有 些 有 恶意 插件 还 会 更 改 系 统 配 置 ， 严 重地 影响 
了 系统 运行 的 稳定 性 。 


(1) 使 用 Windows 7 插件 管理 功能 


如 果 用 户 使 用 的 系统 是 Windows 7 及 其 以 上 版 本 的 系统 ， 则 在 上 E 浏 砚 嚣 的 “工具 ”菜单 中 将 出 现 一 个 “管理 加 载 项 ”菜单 。 通 过 
该 菜单 ， 用 户 可 以 对 已 经 安 委 的 | 插件 进行 管理 。 具 体 的 操作 方法 如 下 。 


步骤 01: 打开 IE 浏 览 器 ， 单 击 “ 工 具 ” 一 “管理 加 载 项 ”菜单 项 ， 即 可 打开 “管理 加 载 项 ”对 话 框 ， 如 图 12-95 所 示 。 


步骤 02: 在 “管理 加 载 项 ”对 话 框 中 可 以 查看 各 个 加 载 项 的 详细 信息 ， 如 图 15-96 所 示 。 在 “Internet Explorer 已 经 使 用 的 加 载 
项 ”列表 中 是 计算 机 上 所 存在 的 最 完整 的 加 载 项 列表 。 列 表 中 详细 显示 了 加 载 项 的 名 称 、 发 行者 、 状 态 等 信息 。 
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图 15-95 ”了 IE 浏览 器 窗口 
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图 15-96 “管理 加 载 项 ”对 话 框 


步骤 03: “加 载 项 类 型 ”包括 工具 栏 、 第 三 方 按钮 、ActiveX 控 件 、 浏 览 器 扩展 等 。 用 户 可 以 根据 需要 选取 某 个 加 载 项 ， 然 后 单 
c “ЖЕҢ” Вай, WERDE. 
(2) 使 用 IE 插 件 管理 专家 


IE 插 件 管理 专家 (Upiea) 的 IE 插件 屏蔽 功能 突破 了 传统 的 插件 屏蔽 软件 思维 模式 ， 它 不 仅 仪 能 够 屏 菩 插件 ， 还 可 以 识别 当前 已 
安 委 的 插件 ， 并 可 印 载 插 件 。 具 体操 作 方 法 如 下 。 


步骤 01: 下 载 并 解压 IE 插件 管理 专家 压缩 文件 后 ， 双 击 upiea.exe 图 标 即 可 进入 其 操作 界面 ， 如 图 15-97 所 示 。 选 择 “插件 免 
疫 ” 选 项 卡 ， 单 击 界面 上 万 的 不 同 标签 ， 选 择 需 要 免疫 的 插件 名 称 ， 单 击 “ 应 用 ”按钮 ， 即 可 完成 该 插件 的 免疫 操作 。 插 件 锌 免疫 
后 ， 系 统 将 不 能 再 安 委 相 应 的 插件 。 
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步骤 02: 选择 “插件 管理 ”选项 卡 ， 在 其 中 可 得 看 已 加 载 的 插件 ， 如 图 12-98 所 示 。 


用 ”按钮 可 将 其 设置 为 启用 或 禁用 状态 ， 还 可 单 击 “ 删 除 ” 


步骤 03: Upiea 还 提供 了 丰富 的 “系统 设置 ”功能 
目 管理 以 及 系统 清理 等 ， 如 图 15-99 所 示 。 
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选取 某 个 插件 ， 单 击 下 方 的 “局 用 ”或 “ 禁 


择 “ 系 统 设 置 ” 选 项 卡 ， 即 可 进行 浏 哆 器 设置 、 软 件 释 载 、 启 动 项 
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图 15-99 “系统 设置 ”选项 卡 


15.3.2 КАМУС, 

除 在 遭受 其 “骚扰 ”和 “入侵 ” 后 进行 “亡羊补牢 ”外 ， 难 道 就 真 的 没有 办 法 了 吗 ? REMEE, ПЕ “НИХ 
f£" 具有 免疫 功能 的 计算 机 系统 。 

(1) 及 时 更 新 补丁 程序 


如 果 沉 得 下 载 补丁 程序 太 麻 烦 ， 则 可 以 利用 安 和 的 杀毒 软件 、 防 火 墙 等 安全 工具 中 的 漏洞 扫 摘 功能 ， 扫 摘 目 己 的 系统 并 目 动 下 载 
安 委 补丁 程序 。 在 扫 摘 系统 漏洞 前 ， 应 移 升 级 到 最 新 版 本 ， 人 否则 可 能 无 法 检测 出 最 新 必 布 的 补丁 程序 。 


下 面 以 瑞星 安全 助手 为 例 介 绍 其 扫 摘 系 统 漏 洞 并 下 载 补 本 的 操作 方法 。 


步骤 01: Кате АРА, Xs БАУЕР ИЕ АБЫШ НЕТЕМ, 15-10067. 
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图 15-100 ”瑞星 杀毒 软件 主 界 面 


步骤 02: 单 击 主 界面 底部 “检查 更 新 ”链接 ， 弹 出 “智能 升级 正在 进行 …..” 提 示 框 ， 对 软件 进行 升级 ， 如 图 15-101 所 示 。 
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下 载 组 件 RssaVver. ха1У1 ПЕК) 


当前 进度 : 
总 体 进 度 : 


隐藏 升级 窗口 


图 15-101 ”智能 升级 提示 


步骤 03: 单 击 “ 电 脑 修 复 ” 标 答 ， 进 入 “电脑 修复 ”界面 后 程序 目 动 进 行 扫 摘 ， 扫 摘 完 成 后 即 可 看 到 系统 中 的 所 有 插件 ， 程 序 目 


动 选择 对 系统 有 威胁 的 插件 ， 单 击 “ 立 刻 修复 ”按钮 即 可 对 系统 进行 修复 ， 如 图 15-102 所 示 。 修 复 完成 后 可 选择 “重新 扫描 ”对 系统 
再 次 扫描 ， 若 显示 “没有 发 现 危 险 项 ”， 则 表示 流氓 软件 清理 成 功 ， 如 图 15-103 所 示 。 
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图 15-103 ”重新 扫描 


提示 


用 户 也 可 使 用 瑞星 安全 助手 的 安全 防护 功能 对 系统 安全 体系 和 系统 漏洞 进行 实时 监控 ， 保 证 系统 处 于 相对 安全 的 环境 ， 如 图 15- 
104 所 示 。 将 “系统 安全 体系 监控 和 “系统 漏洞 监控 ”选择 开启 。 同 时 也 可 开启 “恶意 网 站 访问 监控 、“ 恶 意 文件 实时 监 
控 ” 和 “UU 盘 病 毒 免疫 监控 ”， 只 是 要 开启 “恶意 网 站 访问 监控 ”需要 安装 瑞星 个 人 防火 墙 。 


(2) 禁用 ActiveX 脚 本 


蔡 用 ActiveX 脚 本 可 以 阻止 恶意 IE 插件 的 安装 ， 但 也 能 够 造成 某 些 使 用 ActiveX 技 术 的 网 页 无 法 正常 显示 。 茜 用 ActiveX 脚 本 的 具 
体操 作 方 法 如 下 。 
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图 15-104 “安全 防护 ”页 面 
步骤 01: 右 击 梨 面 上 的 Internet 图 标 ， 从 快捷 荣 单 中 选择 “选项 ”， 即 可 打开 “Internet 选 项 ”对 话 框 ， 如 图 15-105 所 示 。 


步骤 02: ВЕ "Яс" AR, PhDs 按钮 ， 在 弹出 的 “安全 设置 ”对 话 框 中 禁用 所 有 ActiveX 控 件 和 插件 选项 ， 如 图 
15-106 所 示 。 


选择 一 个 区 域 以 查看 或 更 改 安全 设置 。 
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图 15-106 “安全 设置 ”对 话 框 
(3) 加 入 受 限 站 点 
把 含有 恶意 插件 网 页 加 入 受 限 站 点 ， 使 I|E 浏 览 器 不 能 打开 该 网 页 。 


具体 的 操作 方法 如 下 。 


步骤 01: 打开 “Internet 选 项 ”对 话 框 的 “安全 ”选项 卡 ， 单 击 “ 受 限制 的 站 点 ”图 标 ， 


如 图 15-107 所 示 。 
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图 15-107 “Intetnet 选 项 ”对 话 框 


步骤 02: 蛙 击 “站 点 ”按钮 ， 即 可 打开 “ 受 限 制 的 站 点 ”对 话 框 ， 在 其 中 输入 需要 限制 登录 的 网 页 地 址 ， 如 图 15-108 所 示 。 单 
击 “ 添 加 ”按钮 ， 即 可 将 其 添加 进去 。 
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15-100 “ 受 限 站 点 ”对 话 框 
(4) 修改 Hosts 文 件 


Hosts 文 件 又 称 域名 本 地 解析 系统 ， 以 ASCII 格 式 保存 。 为 了 在 互联 网 上 不 产生 冲突 ,每 一 台 连 接 网 络 的 计算 机 都 会 分 配 一 个 IP 地 
址 ， 但 为 便于 记忆 ， 又 引入 了 域名 的 概念 ， 所 以 当 用 户 在 上 E 地 址 栏 中 输入 域名 时 ， 系 统 先 查 看 Hosts 文 件 中 是 否 有 与 此 域名 相对 应 的 
IP 地 址 ， 如 果 没 有 就 连接 DNS 服务 器 进行 搜索 ; 如 果 有 ， 则 会 直接 登录 该 网 站 。Hosts 文 件 省 略 了 通过 DNS 服务 器 解析 域名 的 过 程 ， 
可 提高 网 页 浏览 的 速度 。 在 Windows 7 系统 中 可 使 用 “记事 本 ”打开 C:\Windows\system32\drivers\etc\hosts 文 件 ， 在 此 文件 中 输 
入 127.0.0.1 www.abcd.com， 在 IP 地 址 和 域名 间 用 空格 分 开 且 保存 后 退出 ， 将 www.abcd.com 网 站 域名 指向 计算 机 本 地 的 IP 地 址 
127.0.0.1， 从 而 避免 下 载 插件 。 


(5) 设置 网 页 安全 扫 摘 


一 般 肥 病毒 软件 中 都 市 有 防 沁 网 页 恶意 代码 的 功能 ， 例 如 “瑞星 卡 卡 上 网 安全 助手 ”中 的 “上 网 防护 ”功能 ， 束 具有 “不 展 网 站 
访问 防护 ”、 “Ее” о “木马 下 载 拦截 ”等 功能 ， 如 图 15-109 所 示 。 启 用 这 些 功能 ， 用 户 访问 具有 恶意 代码 的 网 页 时 ， 就 会 主 
动 进行 提 示 和 拦截 ， 防 止 恶 意 代 码 利 用 ActiveX 进 行 下 载 和 执行 危险 的 命令 。 


(6) 使 用 专用 工具 进行 防疫 


现在 网 络 上 有 很 多 专门 用 于 对 付 流 谍 软件 和 间谍 软件 的 工具 ， 而 且 这 些 工具 一 般 都 具有 免疫 功能 ， 即 针对 已 知 的 流氓 软件 和 间谍 
软件 修改 注册 表 相 应 项 ， 使 相应 的 沅 虐 软 件 和 间谍 软件 不 能 目 动 下 载 和 安 丢 ， 从 而 保证 用 户 系 统 的 安全 、 稳 定 。 


mE == СТ 8726.0 


БЕЛТА ТЕЁ АКЕЛ 杀毒 软件 up: 


"€ ш + E ES UI BEA TP: 
© — |] зке Ен НЕЕ CON 
"s SX нра 


ШЕН РАНГА 
本 机 防护 HERRI | 


IE Ehinim 


ЗЕН ИТЕ ая РЕ, 
ELLE! ТЫҒЫНЫН, Н 
ЯВНО Аы 


МІ Rim tH ШЕР 


жатат 
Pali 


已 号 用 


me ODIFE 云 实 全 "时 长 当前 版 本 : 6.0.1.30 ЕВЕ НЕЯ : 2009-5-21 10:20 


115-109 “上 网 防护 ”页 面 


15.3.3 “人 金山 清音 专家 ” ВИШЕ 


“金山 清理 专家 ”是 一 款 上 网 安全 辅助 软件 ， 对 流行 木马 、 恶 意 插件 尤为 有 效 ， 可 解决 普通 杀毒 软件 不 能 解决 的 安全 问题 。 其 特 
点 有 : 永久 免费 ;免费 病毒 木马 查 杀 ; 健康 指数 综合 评分 系统 ; 查 杀 恶意 


查 杀 有 恶意 软件 + 超 强 抢 杀 反 术 (Bootclean) ; 互联 网 可 信 认 证 ; В 
网 页 挂 马 功能 等 。 


月 b= 于 


具体 的 操作 方法 如 下 。 


步骤 01: 安装 好 软件 后 ， 冯 击 桌 面 上 的 “金山 清理 专家 ”图 标 ， 即 可 进入 其 操作 界面 ， 如 图 15-110 所 示 。 
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915-110 “金山 清理 专家 ” 主 界 面 


步骤 02: 在 “金山 清理 专家 ” 主 界 面 中 单 击 “实时 保护 ”按钮 ， 可 局 用 或 天 闭 “U 盘 防火 墙 "”、 “漏洞 防 火 墙 ”、“ 网 页 防火 
“系统 防火 墙 ” 等 功能 ， 如 图 15-111 所 示 。 
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步骤 03: Е "SELBE Ex ERARA "EREA НӘН, ВЕ DRAID" НӘН, Жажа, НАШ Ын 
数 ， 指 出 问题 所 在 ， 如 图 15-112 所 示 。 


步骤 04: 人 在 “金山 清理 专家 ” 主 界面 中 单 击 “ 有 恶意 软件 查 杀 ”按钮 ， 可 以 看 到 已 经 至 到 的 恶意 软件 分 类 及 其 数量 。 单 击 其 中 一 
项 ， 并 选取 需要 清除 的 项 目 ， 如 图 12-113 所 示 。 单 击 “ 清 除 选 定 项 ”按钮 ， 即 可 将 其 清除 。 
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图 15-111 “实时 保护 ” 


设置 界面 


ьт ша ЕТ vr E кайче | i 
' еш. EXER. 7—8 一 
Ы L E LE m, x 5, р F E ч. 
! š + | 1 
г | j | 金山 请 理 ! 


qing.duba.net ESSE 产品 社区 $560 “LLENE 


EE. ЕЕК ГИ НІНЕ: 


ЖҮ! spam 


AA EIE Ж imi Е: 
© ТЕЖИ ЗАСНЕ ЕНЕ 


Ө uos 


ЕНЕВ В er wm ВЕНЕРЫ ЕБЛЯ Н 


815-112 “健康 指数 ”页 面 
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图 15-113 “恶意 软件 查 杀 ”页 面 


步骤 05: 在 “金山 清理 专家 ” 主 界 面 中 单 击 “ 漏 洞 修复 ”按钮 ， 开 始 扫 摘 系 统 所 存在 的 漏洞 ， 并 给 出 漏洞 补丁 列表 ， 如 图 15- 
114 所 示 。 选 取 需 要 修复 的 漏洞 ， 单 击 “ 修 复 选 中 项 ”按钮 ， 即 可 开始 下 载 系统 补丁 并 目 动 安 委 。 


步骤 06: 在 “金山 清理 专家 ” 主 界面 中 蛙 击 “安全 百宝箱 ”按钮 ， 则 可 打开 “金山 安全 百宝箱 ”窗口 ， 在 其 中 可 修复 系统 、 
坪 圾 文件 、 清 除 历史 痕迹 、 修 复 浏览 器 ， 进 行进 程 管理 、 局 动 项 官 理 等 ， 如 图 15-115 所 示 。 
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15-114 “人 金山 漏洞 修复 ”页 面 
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15.3.4 ”使 用 360 安 全 卫士 对 计算 机 进行 防护 
如 今 网 络 上 各 种 间谍 软件 、 恶 意 插件 、 流 氓 软件 实在 大多， 这 些 恶 意 软件 或 者 收集 个 人 隐私 ， 或 频 发 广告 ， 或 让 系统 运行 缓慢 
让 用 户 苦 不 堪 言 。 使 用 免费 的 360 安 全 卫士 则 可 轻松 地 解决 这 个 问题 。 具 体 的 操作 步骤 如 下 。 


步骤 01: 下 载 并 安装 好 360 安 全 卫士 后 ， 双 击 梨 面 上 的 360 安 全 卫士 图 标 ， 即 可 进入 其 操作 界面 ， 如 图 12-116 所 示 。 当 360 安 全 
卫士 首次 运行 时 ， 将 目 动 对 当前 系统 进行 快速 扫 描 ， 查 找 出 系统 所 存在 的 问题 ， 如 图 15-117 所 示 。 
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图 15-116 “360 安 全 卫士 ” 主 窗 口 
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815-117 查看 健康 指数 信息 
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步骤 02: 选择 “ 查 杀 流行 木马 ”标签 ， 在 其 中 可 以 查 杀 当前 系统 中 存在 的 已 知 木 马 程 序 ， 如 图 15-118 所 示 。 扫 描 结束 后 ， 选 取 
需要 清除 的 对 象 ,， 单 击 “ 立 即 查 杀 ” 或 “强力 查 杀 ”按钮 ， 即 可 将 木马 程序 清除 ， 如 图 15-119 所 示 。 
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615-518 “ 查 杀 流行 木马 ”页 面 
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915-119 ”清除 木马 


步骤 03: 选择 “系统 修复 ”标签 ， 可 对 计算 机 进行 常规 修复 和 漏洞 修复 ， 如 图 15-120 所 示 。 单 击 “ 常 规 修复 ”图 标 ， 可 对 一 些 
恶意 插件 、 广 告 等 进行 检测 及 修复 ， 而 单 击 “ 漏 洞 修复 ”图 标 ， 可 专门 检测 并 修复 系统 漏洞 ， 如 图 15-121 所 示 . 


步骤 04: 选择 “电脑 清理 ”标签 ， 可 对 计算 机 中 的 Cookie、 垃 圾 以 及 上 网 痕迹 等 进行 检测 并 清理 ， 如 图 15-122 所 示 。 扫 描 完 成 
后 可 单 击 “一 键 清理 ”按钮 对 扫描 出 的 垃圾 等 进行 清理 ， 如 图 15-123 所 示 。 
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图 15-123 ”一 键 清理 


步骤 05: 选择 “优化 加 速 ” 标 签 ， 会 有 “一 键 优化 ”、“ 深 度 优化 ”、“ 我 的 开机 时 间 ”、 “局 动 项 ”、“ 优 化 记录 与 恢复 ”5 
个 选项 ， 如 图 15-124 所 示 。 通 常 进行 一 键 优化 即 可 ， 必 要 时 也 可 进行 深度 优化 。“ 我 的 开机 时 间 ” 选 项 中 可 显示 所 有 开机 项 目 所 占用 
的 开机 时 间 ， 并 且 可 手动 禁止 不 必要 的 开机 启动 项 目 ， 如 图 15-125 所 示 。 而 在 “启动 项 ”中 ， 可 专门 针对 开机 局 动 项 进行 禁止 启动 、 


恢复 局 动 、 延 迟 至 系统 空 内 时 局 动 等 操作 ， 如 图 15-126 所 示 。 而 在 “优化 记录 与 恢复 ”选项 中 可 对 系统 误 优化 的 项 目 进行 恢复 ， 如 图 
15-127 所 示 。 
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图 15-124 “优化 加 速 ” 页 面 
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步骤 06: 选择 “电脑 救援 ”标签 ， 有 “自动 工具 救援 ”、“ 人 工人 在 线 救 援 ” 及 “附近 商家 救援 ”3 个 选项 ， 如 图 15-128 所 示 。 
“ 目 动 工具 救援 ”选项 中 给 出 了 计算 机 使 用 过 程 中 多 数 会 出 现 的 问题 ， 比 如 上 网 异 弟 、 计 算 机 卡 慢 、 视 频 声音 有 问题 等 ， 用 户 在 使 用 
计算 机 时 经 常会 因为 出 现 一 些小 问题 而 不 知 如 何 是 好 ， 其 实在 这 里 基本 上 可 以 得 到 解决 。 以 视频 播放 时 没有 声音 为 例 ， 在 这 里 单 
击 “ 视 频 声 瘟 ”中 的 “没有 声音 ”选项 ， 即 可 进入 修复 界面 ， 单 击 “ 立 即 修 复 ” 按 钮 ， 即 可 对 问题 进行 修复 ， 如 图 15-129 所 示 。 对 于 
一 些 “ 上 自动 工具 救援 ”无 法 解决 的 问题 也 可 进行 人 工 在 线 咨 询 ， 而 必须 进行 计算 机 维修 时 ，360 也 推荐 了 一 些 维修 商家 。 
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图 15-128 “电脑 救援 ”页 面 


步骤 07: 选择 “软件 管家 ”标签 ， 用 户 可 进行 软件 下 载 、 安 装 、 升 级 、 纠 载 等 操作 ， 非 常 方 便 ， 如 图 15-130 所 示 。 
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